這幾天科技圈已經(jīng)被iOS 的XcodeGhost 病毒事件刷屏峰鄙。目前已經(jīng)有多款應(yīng)用被證實(shí)感染了XcodeGhost 病毒茎杂。為此國(guó)內(nèi)專(zhuān)業(yè)的移動(dòng)應(yīng)用安全企業(yè)愛(ài)加密研究團(tuán)隊(duì)推出了XcodeGhost 病毒解決方案池充，包含原理介褥、方法主慰、咨詢(xún)讽营、建議的全面解決方案移宅。

事件緣由：有技術(shù)人員介紹归粉，一款A(yù)PP的發(fā)布，首先是要編寫(xiě)源代碼漏峰，在編寫(xiě)完成后糠悼，則需要將代碼編譯成“可執(zhí)行的文件”進(jìn)行打包發(fā)布。蘋(píng)果iOS APP的開(kāi)發(fā)需要通過(guò)蘋(píng)果自家出的Xcode浅乔，把源代碼編譯為可執(zhí)行的APP倔喂，開(kāi)發(fā)者才能把APP上傳到蘋(píng)果應(yīng)用商店后臺(tái)，經(jīng)過(guò)蘋(píng)果官方審核后靖苇，APP在應(yīng)用商店App Store上架席噩，正式開(kāi)放下載。

但由于Xcode 體積較大贤壁，有幾個(gè)GB悼枢，國(guó)內(nèi)開(kāi)發(fā)者如果直接從蘋(píng)果下載的話速度非常緩慢。XcodeGhost木馬的開(kāi)發(fā)者利用了這一點(diǎn)脾拆，將加了后門(mén)木馬的Xcode工具上傳到國(guó)內(nèi)網(wǎng)盤(pán)上馒索，然后在各種iOS開(kāi)發(fā)論壇發(fā)帖進(jìn)行擴(kuò)散傳播。

由于木馬作者提供的Xcode版本齊全名船，國(guó)內(nèi)網(wǎng)盤(pán)下載速度相比蘋(píng)果官網(wǎng)也更加快速绰上，各大公司的程序員在想要下載Xcode時(shí)只要輕輕搜索一下就

上鉤了。然而渠驼，這個(gè)“加了料”的Xcode會(huì)在程序員編譯APP的時(shí)候偷偷自動(dòng)地把XcodeGhost的惡意代碼也一并編譯進(jìn)去了蜈块，但程序員們對(duì)此毫不

知情。

按道理，每款A(yù)PP被放置到蘋(píng)果的官方應(yīng)用商店供用戶(hù)下載前疯趟，是需要通過(guò)蘋(píng)果平臺(tái)的檢測(cè)的拘哨。但遺憾的是蘋(píng)果也沒(méi)有檢驗(yàn)出應(yīng)用里含有木馬病毒谋梭。

事件影響：在網(wǎng)絡(luò)上流傳了各種受影響的APP列表及相關(guān)信息信峻，比如“發(fā)現(xiàn)AppStore下載量最高的5000個(gè)APP中有76款A(yù)PP被XCodeGhost感染，其中不乏大公司的知名應(yīng)用瓮床，也有不少金融類(lèi)應(yīng)用盹舞，還有諸多民生類(lèi)應(yīng)用。根據(jù)保守估計(jì)隘庄，受這次事件影響的用戶(hù)數(shù)超過(guò)一億”踢步。

愛(ài)加密安全專(zhuān)家表示目前已經(jīng)檢測(cè)到至少300個(gè)以上不同版本的應(yīng)用感染了XcodeGhost

病毒，并且目前還在檢測(cè)更多的應(yīng)用丑掺，愛(ài)加密團(tuán)隊(duì)還會(huì)不斷地更新檢測(cè)的結(jié)果获印，并將有感染XcodeGhost

病毒的應(yīng)用上傳到安全數(shù)據(jù)庫(kù)中，到愛(ài)加密的官網(wǎng)漏洞檢測(cè)平臺(tái)上實(shí)行一鍵檢測(cè)街州，就可以知道一款A(yù)PP有無(wú)病毒和漏洞兼丰，以及相應(yīng)的病毒和漏洞種類(lèi)。

據(jù)悉唆缴，全球iOS 安全機(jī)構(gòu)已經(jīng)對(duì)此事表示了關(guān)注鳍征。根據(jù)相關(guān)安全部門(mén)的報(bào)告資料顯示，此次XcodeGhost 波及的范圍之廣令人震驚面徽，甚至將對(duì)移動(dòng)安全的未來(lái)產(chǎn)生影響艳丛，事件還在進(jìn)一步發(fā)酵之中。

解決方案

針對(duì)此次XcodeGhost事件以及預(yù)防未來(lái)可能出現(xiàn)的安全威脅趟紊，愛(ài)加密提出以下解決方案：

一氮双、一鍵“清場(chǎng)”：

1．開(kāi)發(fā)工具安全檢測(cè)

愛(ài)加密提供工具，對(duì)MAC上的開(kāi)發(fā)工具霎匈，主要是Xcode進(jìn)行檢測(cè)：

1）安裝新的Xcode之前對(duì)dmg文件進(jìn)行md5驗(yàn)證戴差，確保跟官方App Store上的一致。

2）對(duì)于已經(jīng)安裝部署好的Xcode開(kāi)發(fā)環(huán)境唧躲，對(duì)關(guān)鍵文件夾進(jìn)行對(duì)比檢測(cè)造挽，列出與官方發(fā)布版本不一致的文件，如/Applications

/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs

/目錄下是否存在Library弄痹，編譯器clang是否已經(jīng)改變等饭入。

2．ipa包檢測(cè)

愛(ài)加密提供工具，對(duì)上線前ipa進(jìn)行安全分析肛真，主要包括：

1）針對(duì)已經(jīng)出現(xiàn)的病毒谐丢，進(jìn)行特征碼掃描分析。比如此次的XcodeGhost病毒，就可以通過(guò)分析ipa可執(zhí)行文件是否包含”icloud-analysis.com”這個(gè)字符串來(lái)檢測(cè)乾忱。

2）針對(duì)未知的潛在病毒讥珍，愛(ài)加密安全專(zhuān)家將會(huì)對(duì)ipa進(jìn)行人工滲透分析，及時(shí)發(fā)現(xiàn)異常行為窄瘟。

二衷佃、專(zhuān)業(yè)安全開(kāi)發(fā)咨詢(xún)：

愛(ài)加密團(tuán)隊(duì)深耕移動(dòng)應(yīng)用安全領(lǐng)域多年，對(duì)于iOS 開(kāi)發(fā)合規(guī)有整套的規(guī)范和原則蹄葱；另外氏义，對(duì)于銀行金融類(lèi)APP，愛(ài)加密團(tuán)隊(duì)里有擁有銀行APP安全咨詢(xún)十幾年經(jīng)驗(yàn)的安全專(zhuān)家給出咨詢(xún)意見(jiàn)图云；

三惯悠、額外建議：

1．從官方下載開(kāi)發(fā)工具以及第三方framework，對(duì)第三方framework進(jìn)行人工分析竣况，確保未被感染克婶。愛(ài)加密安全專(zhuān)家對(duì)此次事情進(jìn)行了深入分析，一致認(rèn)為：如果使用被感染的第三方庫(kù)丹泉，將很容易導(dǎo)致類(lèi)似XcodeGhost這樣的事件情萤。

2．對(duì)第三方插件進(jìn)行人工分析。很多開(kāi)發(fā)者喜歡使用第三立插件方便開(kāi)發(fā)嘀掸，但如果使用的是一個(gè)受感染的插件紫岩，也容易導(dǎo)致類(lèi)似安全事件。

3．防逆向睬塌，防二次打包泉蝌。愛(ài)加密提供代碼混淆編譯器，可對(duì)字符串進(jìn)行加密揩晴，對(duì)代碼邏輯進(jìn)行混淆勋陪，并提供反調(diào)試、越獄檢測(cè)硫兰、防二次打包等技術(shù)诅愚，進(jìn)一步加強(qiáng)app安全。

愛(ài)加密安全團(tuán)隊(duì)呼吁：

普通用戶(hù)：隨時(shí)關(guān)注安全通報(bào)情況劫映，一旦確定感染病毒版本的APP违孝，請(qǐng)盡快刪除；隨時(shí)關(guān)注官方APP的升級(jí)情況泳赋，一旦官方發(fā)布新版本雌桑，請(qǐng)盡快升級(jí)；

開(kāi)發(fā)者：請(qǐng)從官方下載Xcode乃至更多的開(kāi)發(fā)工具祖今，并建議進(jìn)行MD5和SHA1雙校驗(yàn)校坑。后續(xù)要提高相關(guān)安全意識(shí)及參加相關(guān)安全開(kāi)發(fā)的培訓(xùn)拣技；遵守職業(yè)道德，用正規(guī)開(kāi)發(fā)工具耍目，遵循正規(guī)開(kāi)發(fā)流程和方法膏斤；

開(kāi)發(fā)組織：請(qǐng)盡快進(jìn)行內(nèi)部代碼安全性審核，同時(shí)可以考慮與專(zhuān)業(yè)的移動(dòng)應(yīng)用安全廠商進(jìn)行合作邪驮，進(jìn)行安全性評(píng)估莫辨，以及APP安全加密和監(jiān)測(cè)；

行業(yè)組織or主管機(jī)構(gòu)：呼吁對(duì)APP安全性提出要求以及形成安全規(guī)范標(biāo)準(zhǔn)耕捞；

蘋(píng)果公司：及時(shí)檢測(cè)和防范風(fēng)險(xiǎn)衔掸，加強(qiáng)安全性審核機(jī)制，不要對(duì)iOS系統(tǒng)安全性存在盲目的自信俺抽，并考慮與國(guó)內(nèi)的移動(dòng)應(yīng)用安全組織和機(jī)構(gòu)進(jìn)行積極協(xié)作，促進(jìn)安全生態(tài)環(huán)境建設(shè)较曼。

對(duì)于此次的XcodeGhost 病毒事件磷斧，愛(ài)加密的安全專(zhuān)家分析，如果這些應(yīng)用一開(kāi)始就使用了愛(ài)加密的安全編譯器捷犹，或者在應(yīng)用上傳到市場(chǎng)之前弛饭，使用過(guò)愛(ài)加密的安全檢測(cè)和應(yīng)用加密，則可有效避免中招萍歉。

另悉侣颂，愛(ài)加密是國(guó)內(nèi)最早推出ios應(yīng)用加密安全服務(wù)的企業(yè)。此次的XcodeGhost 病毒事件影響范圍非常大枪孩，讓一向以為蘋(píng)果系統(tǒng)安全無(wú)憂(yōu)的企業(yè)和用戶(hù)們?nèi)诵幕袒蹄旧埂ＬO(píng)果的安全神話再次被打破。

所以蔑舞，安全無(wú)小事拒担，不能掉以輕心。安全防護(hù)要做到未雨綢繆攻询，防患于未然从撼。

更多愛(ài)加密詳情，可點(diǎn)擊：http://www.ijiami.cn了解更多解決方案钧栖。