【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。

iphone MOBILE 手機

XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人

上傳的版本:

圖 1:分享 Xcode 的網站。

但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)

 

圖 2:被改過的 Xcode 6.2。

 

圖 3:被改過的 Xcode 6.4。

受感染的應用程式

以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。

BundleID版本AppLabel
com.51zhangdan.cardbox5.0.151卡保险箱
com.cloud1911.mslict1.0.44LifeSmart
cn.com.10jqka.StocksOpenClass3.10.01炒股公开课
com.xiaojukeji.didi3.9.7嘀嘀打车
com.xiaojukeji.didi4.0.0滴滴出行
com.xiaojukeji.dididache2.9.3滴滴司机
com.dayup11.LaiDianGuiShuDiFree3.6.5电话归属地助手
sniper.ChildSong1.6儿歌动画大全
com.rovio.scn.baba2.1.1愤怒的小鸟2
com.appjourney.fuqi2.0.1夫妻床头话
com.autonavi.amap7.3.8高德地图
com.stockradar.radar15.6股票雷达
cn.com.10jqka.TheStockMarketHotSpots2.40.01股市热点
com.jianshu.Hugo2.9.1Hugo
com.wdj.eyepetizer1.8.0Eyepetizer
com.iflytek.recinbox1.0.1083录音宝
com.maramara.app1.1.0马拉马拉
com.intsig.camcard.lite6.5.1CamCard
com.octInn.br6.6.0BirthdayReminder
com.chinaunicom.mobilebusiness3.2手机营业厅
cn.12306.rails123062.1铁路12306
cn.com.10jqka.IHexin9.53.01同花顺
cn.com.10jqka.IphoneIJiJin4.20.01同花顺爱基金
cn.com.gypsii.GyPSii.ITC7.7.2图钉
com.netease.videoHD10019网易公开课
com.netease.cloudmusic2.8.3网易云音乐
com.tencent.xin6.2.5微信
com.tencent.mt21.10.5我叫MT 2
com.gemd.iting4.3.8喜马拉雅FM
com.xiachufang.recipe48下厨房
cn.com.10jqka.ThreeBoard1.01.01新三板
com.simiao-internet.yaodongli1.12.0药给力
com.gaeagame.cn.fff1.1.0自由之战

                        表 1:部分暗藏 XcodeGhost 程式碼的應用程式。

推播應用程式

面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。
圖 4:XcodeGhost作者釋出的原始碼片段。

受害國家和地區

根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式也在中國以外地區發行。


圖 5:受害的國家。

趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。

原文出處:The XcodeGhost Plague – How Did It Happen?|作者:Ju Zhu (行動裝置威脅分析師)

 

 

 

 

540x90 line

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載