在 Apple 的嚴格把關之下，長久以來，iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過，這樣的美好世界已經不再，因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼，也就是外界所稱的「XcodeGhost」(Xcode幽靈)。

XcodeGhost 到底是怎麼來的？Xcode 是 Apple 各平台通用的程式開發工具套件，然而，中國的開發人員要從官方網站下載這套工具卻有困難，因為檔案很大 (好幾GB)，而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說，連上中國境內網站的速度遠遠超過連到國外。)因此，許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具，而是從國內檔案分享網站下載別人

上傳的版本：

圖 1：分享 Xcode 的網站。

但問題來了，這些網路上分享的版本，被人偷偷換掉了原本的 CoreService (核心服務) 模組，加入了惡意程式碼。因此，每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址，而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版；第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址，企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7，還有一個 7.1 Beta 測試版。)

圖 2：被改過的 Xcode 6.2。

圖 3：被改過的 Xcode 6.4。

受感染的應用程式

以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過，由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳，因此可能還有更多其他應用程式也遭到感染。請注意，截至本文撰寫為止，表中粗體字標示的應用程式仍可以在官方 App Store 上找到。

                        表 1：部分暗藏 XcodeGhost 程式碼的應用程式。

推播應用程式

面對輿論的壓力，XcodeGhost 作者已經寫信公開道歉，並且公開其原始程式碼。從原始碼中我們發現，它除了可能造成資料外洩之外，還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外，XcodeGhost 也可用來向用戶發送通知，進而從事詐騙或網路釣魚之類的活動。
圖 4：XcodeGhost作者釋出的原始碼片段。

受害國家和地區

根據我們的監控資料顯示，中國是這起事件受害最嚴重的國家。不過，北美也遭受嚴重打擊。這一點並不太令人意外，因為許多受感染的應用程式也在中國以外地區發行。

圖 5：受害的國家。

趨勢科技已能偵測含有這類惡意程式碼的應用程式，識別名稱為：IOS_XcodeGhost.A。

原文出處：The XcodeGhost Plague – How Did It Happen?|作者：Ju Zhu (行動裝置威脅分析師)

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

趨勢科技PC-cillin雲端版 ，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

趨勢科技PC-cillin雲端版 ，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載