12款iOS应用已被感染 开发者请慎用第三方渠道一 游戏陀螺丨关注游戏创业,为游戏创业者服务
功能标记
微信公众平台
游戏陀螺
游戏陀螺海外
第一届“金陀螺奖”揭晓,获奖名单公布!

首页 >> 游戏资讯/工具包/App Store >> 12款iOS应用已被感染 开发者请慎用第三方渠道

12款iOS应用已被感染 开发者请慎用第三方渠道

 | 标签:         

点击分享本文: 

9月18日消息,有网友发现第三方渠道下载的iOS开发工具xcode被插入恶意代码,编译的软件被加入了后门漏洞。乌云漏洞平台分析,感染该病毒应用可能会弹出虚假弹窗套取用户 iCloud 账户及密码。

经测试,目前已感染的应用包括:网易云音乐、滴滴出行、12306、中国联通手机营业厅、高德地图、简书、豌豆荚的开眼、网易公开课、下厨房、51卡保险箱、同花顺、中信银行动卡空间等。

12

有技术人士分析称,苹果官方开发工具是没问题的,但是因为从苹果官网下载开发工具很慢, 有开发者就从第三方渠道下载开发工具。 而从第三方渠道下载的开发工具被人植入了病毒,用这个开发工具打包的程序会带有上传用户资料的病毒,导致一大堆苹果的app都被内置了病毒在里面。

据悉,通过在非官方渠道下载的Xcode编译出来的App被注入了第三方的代码,主要的功能就是先收集一些iPhone和app的基本信息:时间,bundle id(包名),应用名称,系统版本,语言,国家等随后会把这些信息上传到 init.icloud-analysis.com。这并非Apple 的官方网站,而是病毒作者所申请的仿冒网站,用来收集数据信息的。

网易云音乐已经在官方微博回应此事。回应称,iPhone用户部分应用会上传自身手机的部分基本信息,包括安装时间、应用id、应用名称、系统版本、语言、国家等。

13

网易云音乐称,此次感染涉及信息皆为产品的系统信息,无法调取和泄露个人信息。

据了解,目前感染源制作者的网站的服务器已经关闭。用whois查询服务器信息也没有为挖掘出更多信息。这种病毒传播方式在iOS上还是首次,但是也并不排除病毒作者后续增大破坏力的可能性。

以下为乌云网发布的安全预警报告:

不可信下载源Xcode包含恶意代码预警(已有企业APP发布受到影响)

9月17日上午,微博用户@JoeyBlue_ 曝光称,有开发者用了非官方渠道下载的Xcode编译出来的应用被注入了第三方的代码,会向一个网站上传数据。目前已知两个知名应用被注入。

乌云知识库作者蒸米对注入的病毒样本“XcodeGhost“进行分析,确认了上述说法。经分析,该病毒会收集应用和系统的基本信息,包括时间、bundle id(包名)、应用名称、系统版本、语言、国家等,并上传到init.icloud-analysis.com(该域名为病毒作者申请,用于收集数据信息)。

[caption id="attachment_91550" align="aligncenter" width="432"]14 样本文件中发现用以收集信息的函数[/caption]

18日上午,硅谷安全公司Palo Alto跟踪事件后发现国内知名应用网易云音乐中招,当前App Store上架的网易云音乐最新版v2.8.3已经感染病毒,会将手机隐私信息上传至病毒作者的服务器上(Palo Alto还发现存在更多收集数据的域名)。

乌云建议,使用非官方渠道下载Xcode的iOS开发者请立刻展开自查,并对受影响版本进行处理。我们也会持续关注事件进展。

检查方法:

恶意Xcode包含有如下文件“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”;正常的Xcode的SDK目录下没有Library目录(来自@JoeyBlue_)

其次,还应该检测一下Target->Build Setting->Search Paths->Framework Search Paths的设置,看看是否有可疑的frameworks混杂其中。

 

【扫描游戏陀螺微信二维码,获取更多干货爆料】 supercell