在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。
XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人
上傳的版本:
圖 1:分享 Xcode 的網站。
但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)
圖 2:被改過的 Xcode 6.2。
圖 3:被改過的 Xcode 6.4。
受感染的應用程式
以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。
| BundleID | 版本 | AppLabel |
| com.51zhangdan.cardbox | 5.0.1 | 51卡保险箱 |
| com.cloud1911.mslict | 1.0.44 | LifeSmart |
| cn.com.10jqka.StocksOpenClass | 3.10.01 | 炒股公开课 |
| com.xiaojukeji.didi | 3.9.7 | 嘀嘀打车 |
| com.xiaojukeji.didi | 4.0.0 | 滴滴出行 |
| com.xiaojukeji.dididache | 2.9.3 | 滴滴司机 |
| com.dayup11.LaiDianGuiShuDiFree | 3.6.5 | 电话归属地助手 |
| sniper.ChildSong | 1.6 | 儿歌动画大全 |
| com.rovio.scn.baba | 2.1.1 | 愤怒的小鸟2 |
| com.appjourney.fuqi | 2.0.1 | 夫妻床头话 |
| com.autonavi.amap | 7.3.8 | 高德地图 |
| com.stockradar.radar1 | 5.6 | 股票雷达 |
| cn.com.10jqka.TheStockMarketHotSpots | 2.40.01 | 股市热点 |
| com.jianshu.Hugo | 2.9.1 | Hugo |
| com.wdj.eyepetizer | 1.8.0 | Eyepetizer |
| com.iflytek.recinbox | 1.0.1083 | 录音宝 |
| com.maramara.app | 1.1.0 | 马拉马拉 |
| com.intsig.camcard.lite | 6.5.1 | CamCard |
| com.octInn.br | 6.6.0 | BirthdayReminder |
| com.chinaunicom.mobilebusiness | 3.2 | 手机营业厅 |
| cn.12306.rails12306 | 2.1 | 铁路12306 |
| cn.com.10jqka.IHexin | 9.53.01 | 同花顺 |
| cn.com.10jqka.IphoneIJiJin | 4.20.01 | 同花顺爱基金 |
| cn.com.gypsii.GyPSii.ITC | 7.7.2 | 图钉 |
| com.netease.videoHD | 10019 | 网易公开课 |
| com.netease.cloudmusic | 2.8.3 | 网易云音乐 |
| com.tencent.xin | 6.2.5 | 微信 |
| com.tencent.mt2 | 1.10.5 | 我叫MT 2 |
| com.gemd.iting | 4.3.8 | 喜马拉雅FM |
| com.xiachufang.recipe | 48 | 下厨房 |
| cn.com.10jqka.ThreeBoard | 1.01.01 | 新三板 |
| com.simiao-internet.yaodongli | 1.12.0 | 药给力 |
| com.gaeagame.cn.fff | 1.1.0 | 自由之战 |
表 1:部分暗藏 XcodeGhost 程式碼的應用程式。
推播應用程式
面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。
圖 4:XcodeGhost作者釋出的原始碼片段。
受害國家和地區
根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式也在中國以外地區發行。
圖 5:受害的國家。
趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。
原文出處:The XcodeGhost Plague – How Did It Happen?|作者:Ju Zhu (行動裝置威脅分析師)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載