XCodeGhost
XCodeGhost源码:
https://github.com/XcodeGhostSource/XcodeGhost
XCodeGhost攻击原理:
从传统的利用应用漏洞攻击转为利用编程语言灵活性及开发工具配置修改的攻击,攻击手法隐蔽,攻击代码逆向分析非常具有迷惑性。
#本次攻击不是利用某个应用的漏洞进行攻击,而是修改XCode软件的加载动态库配置文件(具体哪个文件不介绍了,毕竟知道的人越少越好),使得所有使用被修改过的XCode软件开发的APP都被感染。
#利用Object-C的扩展类功能从而重写UIWindow父类的makeKeyAndVisible函数,从而导致在系统应用启动时调用自己写的makeKeyAndVisible函数从而启动恶意代码。其它面向对象语言如Java,C++没有此功能。
XCodeGhost检查及防范:
1、检查Xcode
检测方式是恶意 Xcode 包含有如下文件:
/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
正常的 Xcode 下面无 Library 目录,为如下形式:
/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/
命令查找
find /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs –name "CoreService"
为了防止app被插入恶意库文件,开发者除了检测”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs” 目录下是否有可疑的framework文件之外,还应该检测一下Target->Build Setting->Search Paths->Framework Search Paths中的设置。看看是否有可疑的frameworks混杂其中:
另外因为最近iOS dylib病毒也十分泛滥,为了防止开发者中招,支付宝的小伙伴还提供了一个防止被dylib hook的小技巧:在Build Settings中找到“Other Linker Flags”在其中加上”-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null”即可。
很多开发者们担心最近下载的Xcode 7也不安全。这里笔者没有使用任何下载工具的情况在苹果官网上下载了Xcode_7.dmg并计算了sha1的值。
http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg
$ shasum Xcode_7.dmg
4afc067e5fc9266413c157167a123c8cdfdfb15e Xcode_7.dmg
建议从mac app store下载Xcode,检查Xcode来源:终端执行
spctl --assess --verbose /Applications/Xcode.app
如果 Xcode 从 Mac App Store 下载,会返回:
/Applications/Xcode.app: accepted
source=Mac App Store
如果从苹果开发者网站下载会返回:
/Applications/Xcode.app: accepted
source=Apple
或:
/Applications/Xcode.app: accepted
source=Apple System
2、检查app,framework
find . -type f |xargs grep "http://init.icloud-analysis.com"
参考:
警惕 Xcode 木马!
Xcode编译器里有鬼 – XcodeGhost 样本分析
XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警
参考ppt(附件)
XCodeGhost相关推荐
- 苹果回应 XcodeGhost:暂未发现个人信息受影响
苹果官网今日发文回应 XcodeGhost 事件,就其中几个关键问题作出解答.苹果称,目前没有任何信息表明这些恶意软件与任何恶意事件相关,也没有信息表明这些软件被使用在传播任何个人身份信息的用途上. ...
- iOS病毒XcodeGhost批量检测工具,开源Github(检测ipa文件)
上周在业内引起轰动的iOS病毒XcodeGhost,9月16日,已发现AppStore上的TOP5000应用有76款被感染.相关链接 几十个ipa包啊,一个个去验证会累死人的! 为了方便检测历史发布包 ...
- XcodeGhost风波过后,苹果如何防范风险?
1. 为响应 XcodeGhost 攻击,苹果正在清理 App Store 恶意软件.尽管苹果的审核机制历来非常严格,但是上周的 XcodeGhost 风波表明,仍然有不少的恶意程序通过了苹果的审核. ...
- 如何制造一个XcodeGhost ?
原文地址:http://ibcker.me/how-to-make-a-xcodeghost/ 前奏 这两天已经被这货刷屏了,大家都在讨论影响却无人提及原理.我斗胆出来写下实现过程,让大伙有个深入了解 ...
- 游戏开发者放心!Cocos引擎未感染XcodeGhost
尊敬的cocos开发者: 近日,有消息称部分游戏引擎感染"XcodeGhost"恶意代码,可能存在安全隐患.Cocos团队得到消息后第一时间启动了全面的自查工作,检查对象包括所有. ...
- 恶意软件XcodeGhost S:变种带来的又一波影响
一个月之前,苹果发布公告称iOS设备被XcodeGhost恶意软件感染,并迅速将受影响应用下架并更新版本. 日前,FireEye安全研究员通过持续监控用户网络发现,XcodeGhost的影响并没有停止 ...
- iOS警报:XcodeGhost已扩散至第三方框架
为什么80%的码农都做不了架构师?>>> 今年9月,苹果XcodeGhost事件引发了全社会的广泛关注,堪称App Store自2008年上线以来遭受的规模最大的攻击,涉及应用 ...
- 警报:XcodeGhost已扩散至第三方框架
摘要:美国移动应用开发商Possible Mobile递交的新版应用遭到了苹果的拒绝,理由是XcodeGhost.遵循安全准则,使用正版Xcode,启用了GateKeeper.在多次试错之后,终于发现 ...
- 拒绝“Xcode-Ghost门”,如何安全快速下载Xcode?
背景 乌云漏洞爆出xcode-ghost门事件后,一时惊天动地,iOS开发小伙伴们纷纷表示整个人都不好了.Xcode作为苹果开发的利器,是iOS开发必备工具,而苹果网站在国内访问蜗牛般的速度,逼迫大家 ...
- “XcodeGhost”病毒之后,苹果更应注…
虽然大家都在期待中秋假期的到来,不过让开发者挺闹心的一件事就是这几天网上.朋友圈以及各种群中炒得沸沸扬扬的"XcodeGhost"病毒事件,就连央视也惊动了!! 事件起源 事件起源 ...
最新文章
- Error: Most middleware (like bodyParser) ...
- liunx查看python的site-packages路径
- 在 Linux 上用 dust 代替 du更直观
- 用源码轻松搭建LNMP !
- 向上取整的方法_PHP取整方法小总结
- 无法打开多维数据集(使用Dundas的OLAP显示控件时的一个小的问题)
- 统计学习方法笔记(李航)———第二章(感知机)
- python CGI编程Apache配置
- [leetcode]84. Largest Rectangle in Histogram c语言
- python程序双向链表_Python 实现双向链表(图解)
- windows 下编译libcurl,通过url下载图片数据
- android预览界面显示不全,Android SurfaceView Camera 预览显示不全(画面拉伸)
- VMware安装Centos8(Centos8与Centos7的区别)
- 百度「联邦学习」战略全布局
- 技能系统(Unity 3D)——学习笔记(三)
- 聚类分析(K-means、系统聚类和二阶聚类)的原理、实例及在SPSS中的实现(一)
- 2016跨境电商五大物流模式
- ffmpeg rtmp推流
- ospf协议说明之top思路图
- Apollo6.0代码Lattice算法详解——Part4:计算障碍物ST/SL图
热门文章
- AD09由英文改中文菜单步骤
- 个人漂浮装置UL安全标准 - 第 5 部分:浮力辅助设备(50 级) - 安全要求 UL 12402-5介绍
- 加速度传感器,磁场传感器和陀螺仪传感器案例
- 如何写好科研论文思维导图分享
- python参考手册文字版_Python参考手册(第4版)
- 武汉大学953计算机综合真题,武大电力系统分析实验报告.docx
- WinForm开发知识汇总
- 关于CityEngine导入shp数据
- sql 获取日期时分秒_[转载]ASP.NET和SQLserver获取当前日期时间:年月日、时分秒...
- 基于tuns的DNS隧道研究