這幾天科技圈已經(jīng)被iOS 的XcodeGhost 病毒事件刷屏峰鄙。目前已經(jīng)有多款應(yīng)用被證實(shí)感染了XcodeGhost 病毒茎杂。為此國(guó)內(nèi)專(zhuān)業(yè)的移動(dòng)應(yīng)用安全企業(yè)愛(ài)加密研究團(tuán)隊(duì)推出了XcodeGhost 病毒解決方案池充,包含原理介褥、方法主慰、咨詢(xún)讽营、建議的全面解決方案移宅。
事件緣由:有技術(shù)人員介紹归粉,一款A(yù)PP的發(fā)布,首先是要編寫(xiě)源代碼漏峰,在編寫(xiě)完成后糠悼,則需要將代碼編譯成“可執(zhí)行的文件”進(jìn)行打包發(fā)布。蘋(píng)果iOS APP的開(kāi)發(fā)需要通過(guò)蘋(píng)果自家出的Xcode浅乔,把源代碼編譯為可執(zhí)行的APP倔喂,開(kāi)發(fā)者才能把APP上傳到蘋(píng)果應(yīng)用商店后臺(tái),經(jīng)過(guò)蘋(píng)果官方審核后靖苇,APP在應(yīng)用商店App Store上架席噩,正式開(kāi)放下載。
但由于Xcode 體積較大贤壁,有幾個(gè)GB悼枢,國(guó)內(nèi)開(kāi)發(fā)者如果直接從蘋(píng)果下載的話速度非常緩慢。XcodeGhost木馬的開(kāi)發(fā)者利用了這一點(diǎn)脾拆,將加了后門(mén)木馬的Xcode工具上傳到國(guó)內(nèi)網(wǎng)盤(pán)上馒索,然后在各種iOS開(kāi)發(fā)論壇發(fā)帖進(jìn)行擴(kuò)散傳播。
由于木馬作者提供的Xcode版本齊全名船,國(guó)內(nèi)網(wǎng)盤(pán)下載速度相比蘋(píng)果官網(wǎng)也更加快速绰上,各大公司的程序員在想要下載Xcode時(shí)只要輕輕搜索一下就
上鉤了。然而渠驼,這個(gè)“加了料”的Xcode會(huì)在程序員編譯APP的時(shí)候偷偷自動(dòng)地把XcodeGhost的惡意代碼也一并編譯進(jìn)去了蜈块,但程序員們對(duì)此毫不
知情。
按道理,每款A(yù)PP被放置到蘋(píng)果的官方應(yīng)用商店供用戶(hù)下載前疯趟,是需要通過(guò)蘋(píng)果平臺(tái)的檢測(cè)的拘哨。但遺憾的是蘋(píng)果也沒(méi)有檢驗(yàn)出應(yīng)用里含有木馬病毒谋梭。
事件影響:在網(wǎng)絡(luò)上流傳了各種受影響的APP列表及相關(guān)信息信峻,比如“發(fā)現(xiàn)AppStore下載量最高的5000個(gè)APP中有76款A(yù)PP被XCodeGhost感染,其中不乏大公司的知名應(yīng)用瓮床,也有不少金融類(lèi)應(yīng)用盹舞,還有諸多民生類(lèi)應(yīng)用。根據(jù)保守估計(jì)隘庄,受這次事件影響的用戶(hù)數(shù)超過(guò)一億”踢步。
愛(ài)加密安全專(zhuān)家表示目前已經(jīng)檢測(cè)到至少300個(gè)以上不同版本的應(yīng)用感染了XcodeGhost
病毒,并且目前還在檢測(cè)更多的應(yīng)用丑掺,愛(ài)加密團(tuán)隊(duì)還會(huì)不斷地更新檢測(cè)的結(jié)果获印,并將有感染XcodeGhost
病毒的應(yīng)用上傳到安全數(shù)據(jù)庫(kù)中,到愛(ài)加密的官網(wǎng)漏洞檢測(cè)平臺(tái)上實(shí)行一鍵檢測(cè)街州,就可以知道一款A(yù)PP有無(wú)病毒和漏洞兼丰,以及相應(yīng)的病毒和漏洞種類(lèi)。
據(jù)悉唆缴,全球iOS 安全機(jī)構(gòu)已經(jīng)對(duì)此事表示了關(guān)注鳍征。根據(jù)相關(guān)安全部門(mén)的報(bào)告資料顯示,此次XcodeGhost 波及的范圍之廣令人震驚面徽,甚至將對(duì)移動(dòng)安全的未來(lái)產(chǎn)生影響艳丛,事件還在進(jìn)一步發(fā)酵之中。
解決方案
針對(duì)此次XcodeGhost事件以及預(yù)防未來(lái)可能出現(xiàn)的安全威脅趟紊,愛(ài)加密提出以下解決方案:
一氮双、一鍵“清場(chǎng)”:
1.開(kāi)發(fā)工具安全檢測(cè)
愛(ài)加密提供工具,對(duì)MAC上的開(kāi)發(fā)工具霎匈,主要是Xcode進(jìn)行檢測(cè):
1)安裝新的Xcode之前對(duì)dmg文件進(jìn)行md5驗(yàn)證戴差,確保跟官方App Store上的一致。
2)對(duì)于已經(jīng)安裝部署好的Xcode開(kāi)發(fā)環(huán)境唧躲,對(duì)關(guān)鍵文件夾進(jìn)行對(duì)比檢測(cè)造挽,列出與官方發(fā)布版本不一致的文件,如/Applications
/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs
/目錄下是否存在Library弄痹,編譯器clang是否已經(jīng)改變等饭入。
2.ipa包檢測(cè)
愛(ài)加密提供工具,對(duì)上線前ipa進(jìn)行安全分析肛真,主要包括:
1)針對(duì)已經(jīng)出現(xiàn)的病毒谐丢,進(jìn)行特征碼掃描分析。比如此次的XcodeGhost病毒,就可以通過(guò)分析ipa可執(zhí)行文件是否包含”icloud-analysis.com”這個(gè)字符串來(lái)檢測(cè)乾忱。
2)針對(duì)未知的潛在病毒讥珍,愛(ài)加密安全專(zhuān)家將會(huì)對(duì)ipa進(jìn)行人工滲透分析,及時(shí)發(fā)現(xiàn)異常行為窄瘟。
二衷佃、專(zhuān)業(yè)安全開(kāi)發(fā)咨詢(xún):
愛(ài)加密團(tuán)隊(duì)深耕移動(dòng)應(yīng)用安全領(lǐng)域多年,對(duì)于iOS 開(kāi)發(fā)合規(guī)有整套的規(guī)范和原則蹄葱;另外氏义,對(duì)于銀行金融類(lèi)APP,愛(ài)加密團(tuán)隊(duì)里有擁有銀行APP安全咨詢(xún)十幾年經(jīng)驗(yàn)的安全專(zhuān)家給出咨詢(xún)意見(jiàn)图云;
三惯悠、額外建議:
1.從官方下載開(kāi)發(fā)工具以及第三方framework,對(duì)第三方framework進(jìn)行人工分析竣况,確保未被感染克婶。愛(ài)加密安全專(zhuān)家對(duì)此次事情進(jìn)行了深入分析,一致認(rèn)為:如果使用被感染的第三方庫(kù)丹泉,將很容易導(dǎo)致類(lèi)似XcodeGhost這樣的事件情萤。
2.對(duì)第三方插件進(jìn)行人工分析。很多開(kāi)發(fā)者喜歡使用第三立插件方便開(kāi)發(fā)嘀掸,但如果使用的是一個(gè)受感染的插件紫岩,也容易導(dǎo)致類(lèi)似安全事件。
3.防逆向睬塌,防二次打包泉蝌。愛(ài)加密提供代碼混淆編譯器,可對(duì)字符串進(jìn)行加密揩晴,對(duì)代碼邏輯進(jìn)行混淆勋陪,并提供反調(diào)試、越獄檢測(cè)硫兰、防二次打包等技術(shù)诅愚,進(jìn)一步加強(qiáng)app安全。
愛(ài)加密安全團(tuán)隊(duì)呼吁:
普通用戶(hù):隨時(shí)關(guān)注安全通報(bào)情況劫映,一旦確定感染病毒版本的APP违孝,請(qǐng)盡快刪除;隨時(shí)關(guān)注官方APP的升級(jí)情況泳赋,一旦官方發(fā)布新版本雌桑,請(qǐng)盡快升級(jí);
開(kāi)發(fā)者:請(qǐng)從官方下載Xcode乃至更多的開(kāi)發(fā)工具祖今,并建議進(jìn)行MD5和SHA1雙校驗(yàn)校坑。后續(xù)要提高相關(guān)安全意識(shí)及參加相關(guān)安全開(kāi)發(fā)的培訓(xùn)拣技;遵守職業(yè)道德,用正規(guī)開(kāi)發(fā)工具耍目,遵循正規(guī)開(kāi)發(fā)流程和方法膏斤;
開(kāi)發(fā)組織:請(qǐng)盡快進(jìn)行內(nèi)部代碼安全性審核,同時(shí)可以考慮與專(zhuān)業(yè)的移動(dòng)應(yīng)用安全廠商進(jìn)行合作邪驮,進(jìn)行安全性評(píng)估莫辨,以及APP安全加密和監(jiān)測(cè);
行業(yè)組織or主管機(jī)構(gòu):呼吁對(duì)APP安全性提出要求以及形成安全規(guī)范標(biāo)準(zhǔn)耕捞;
蘋(píng)果公司:及時(shí)檢測(cè)和防范風(fēng)險(xiǎn)衔掸,加強(qiáng)安全性審核機(jī)制,不要對(duì)iOS系統(tǒng)安全性存在盲目的自信俺抽,并考慮與國(guó)內(nèi)的移動(dòng)應(yīng)用安全組織和機(jī)構(gòu)進(jìn)行積極協(xié)作,促進(jìn)安全生態(tài)環(huán)境建設(shè)较曼。
對(duì)于此次的XcodeGhost 病毒事件磷斧,愛(ài)加密的安全專(zhuān)家分析,如果這些應(yīng)用一開(kāi)始就使用了愛(ài)加密的安全編譯器捷犹,或者在應(yīng)用上傳到市場(chǎng)之前弛饭,使用過(guò)愛(ài)加密的安全檢測(cè)和應(yīng)用加密,則可有效避免中招萍歉。
另悉侣颂,愛(ài)加密是國(guó)內(nèi)最早推出ios應(yīng)用加密安全服務(wù)的企業(yè)。此次的XcodeGhost 病毒事件影響范圍非常大枪孩,讓一向以為蘋(píng)果系統(tǒng)安全無(wú)憂(yōu)的企業(yè)和用戶(hù)們?nèi)诵幕袒蹄旧埂LO(píng)果的安全神話再次被打破。
所以蔑舞,安全無(wú)小事拒担,不能掉以輕心。安全防護(hù)要做到未雨綢繆攻询,防患于未然从撼。
更多愛(ài)加密詳情,可點(diǎn)擊:http://www.ijiami.cn了解更多解決方案钧栖。