滴滴、网易云音乐都中招的 XcodeGhost 病毒是怎么

站长资源 2021-07-09 13:41www.dzhlxh.cnseo优化

编者按:本文来自乌云漏洞报告平台(微信号:wooyun_org),作者蒸米、迅迪。昨天开始,有网友指出非官方渠道下载的 Xcode 编译出来的 App 会被注入了第三方的代码,向一个网站上传数据,到昨晚为止已有几家公司承认问题的存在。所以到底这个 XcodeGhost 是怎么回事?对用户安全的威胁多大?

我们苹果设备上的 APP 都是由苹果 Xcode 开发工具所编写,但 Xcode 体积过于庞大,如果在苹果官方商店安装会非常缓慢,于是很多开发者会在网盘或迅雷下载。但这些非官方渠道的 Xcode 竟然暗藏杀机,利用开发者感染了企业上架的 APP……

所以这次事件的逻辑是:

黑客将包含恶意功能的 Xcode 重新打包,发到各大苹果开发社区供人下载;

来自于各企业内的开发者下载安装了包含恶意代码的 Xcode 编写 APP;

恶意 Xcode 开始工作,向这些 APP 注入信息窃取功能;

被注入恶意功能的 APP 通过审核上架苹果官方商店;

用户在苹果商店安装了这些被感染的 APP;

那么,现在已经发现被感染的 APP 有哪些呢?

0x00 目前发现的部分被感染 APP

微博用户 @ 图拉鼎 在本机上测试发现,已有 10 余个知名 app 中招。

网易云音乐(已回应确认)

滴滴出行

12306

中国联通手机营业厅

高德地图

简书

豌豆荚的开眼(已回应确认)

网易公开课

下厨房

51 卡保险箱

同花顺

中信银行动卡空间

仍然不短增长中……

微博用户 @not_so_bad 发现,微信 v6.2.5 版受影响,@ 腾讯用户服务 其微博下评论确认存在,并表示目前最新版微信已修复。

目前微博、推特上仍有网友发现有新应用存在问题。乌云建议,使用非官方渠道下载 Xcode 的 iOS 开发者请立刻展开自查,并对受影响版本进行处理。虽然目前还没发现问题应用会盗取用户敏感信息,但建议用户能开启 iCloud 二次验证,并保持良好的使用习惯。

0x01 序

事情的起因是 @ 唐巧_boy 在微博上发了一条微博说到:一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入。

随后很多留言的小伙伴们纷纷表示中招,@ 谁敢乱说话表示:” 还是不能相信迅雷,我是把官网上的下载 URL 复制到迅雷里下载的,还是中招了。我说一下:有问题的 Xcode6.4.dmg 的 sha1 是:a836d8fa0fce198e061b7b38b826178b44c053a8,官方正确的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0,大家一定要校验。” 另外还有一位小伙伴表示他是在百度网盘上下载的,也中招了。

0x01 样本分析

在 @ 疯狗 @longye 的帮助下,@JoeyBlue_ 为我们提供了病毒样本:CoreService 库文件,因为用带这个库的 Xcode 编译出的 app 都会中毒,所以我们给这个样本起名为:XCodeGhost。CoreService 是在”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/” 目录下发现的。

用 ida 打开,发现样本非常简单,只有少量函数。主要的功能就是先收集一些 iPhone 和 app 的基本信息,包括:时间,bundle id (包名),应用名称,系统版本,语言,国家等。如图所示:

随后会把这些信息上传到 init.icloud-analysis.com。如图所示:

http://init.icloud-analysis.com 并不是 apple 的官方网站,而是病毒作者所申请的仿冒网站,用来收集数据信息的。

目前该网站的服务器已经关闭,用 whois 查询服务器信息也没有太多可以挖掘的地方。这说明病毒作者是个老手,并且非常小心,在代码和服务器上都没有留下什么痕迹,所以不排除以后还会继续做作案的可能。

0x03 思考&总结

虽然 XCodeGhost 并没有非常严重的恶意行为,但是这种病毒传播方式在 iOS 上还是首次。也许这只是病毒作者试试水而已,可能随后还会有更大的动作,请开发者务必要小心。

这个病毒让我想到了 UNIX 之父 Ken Thompson 的图灵奖演讲 “Reflections of Trusting Trust”。他曾经假设可以实现了一个修改的 tcc,用它编译 su login 能产生后门,用修改的 tcc 编译 “正版” 的 tcc 代码也能够产生有着同样后门的 tcc。也就是不论 bootstrap (用 tcc 编译 tcc) 多少次,不论如何查看源码都无法发现后门,真是细思恐极啊。

0x04 后续

我们将持续跟进这次事件。不过在网上,其实还有很多令人思考的地方,在文末也顺带给大家摘抄一部分:

微博用户 @Saic

拿文件看了一下,这个木马劫持了所有系统的弹窗(例如 IAP 支付),然后向目标服务器发送了加密数据,目前还不知怎么解密发出去的请求

Drops 读者 yoyokko

基本确定病毒先将信息 post 到服务器,收到服务器返回后,connectiondidfinishloading 里调用 response 的 block 代码,里面弹出 alertview,如果这个 alertview 不是用来伪装 icloud 密码输入框岂不是被人发现了?不确定服务器是否有开关来选择性的弹出 alertview。另外病毒有部分字符串被加密,病毒里还自带 encrypt 和 decrypt 函数,居心叵测!!千万别以为只上传了部分非隐私的信息就放松警惕!

Drops 读者小奥

除了 @ 图拉鼎 曝光的几个受到 XcodeGhost.Blackdoor 病毒的 App 外,我在 App Store 前 50 名里还找到了 @ 喜马拉雅 FM 这个 App。另外,根据自测,我本人购买的 @ 名片全能王 和 @ 扫描全能王 同时中招。 今天自查的 app 出现此后门的有 滴滴出行 高德地图 喜马拉雅 FM 名片全能王 扫描全能王 下厨房 51 卡保险箱 同花顺 中信银行动卡空间 中国联通手机营业厅 简书 豌豆荚-开眼 网易公开课 网易云音乐 滴滴出行 12306

Drops 读者 flz

有可能哦,曾经出现过在桌面没有什么操作也好几次莫名的弹出要求输入 icloud 密码的框框的现象,不知道和这个有没有关系。另外,我看了路由器上 privoxy 的日志,那个域名最早是 9.1 出现的。

Drops 读者 jijiji

想不通为啥这帮写代码的放着正版的,一键下载安装的,自动升级的 xcode 不用,非要跑去网盘上下 xcode。而且网易这么大的公司对开发工具和环境没有管理么,没有流程么?感觉好山寨啊

为照顾用户体验,部分技术分析已做精简。欲了解更多细节以及开发者防范方案,可点击原文查看。

本文来自读者投稿,不代表 36氪 立场

Copyright © 2016-2025 www.dzhlxh.cn 金源码 版权所有 Power by

网站模板下载|网络推广|微博营销|seo优化|视频营销|网络营销|微信营销|网站建设|织梦模板|小程序模板