文档章节

爱加密推出XcodeGhost解决方案 护APP安全

科技创造
 科技创造
发布于 2015/09/25 16:34
字数 1886
阅读 96
收藏 1

  这几天科技圈已经被iOS 的XcodeGhost 病毒事件刷屏。目前已经有多款应用被证实感染了XcodeGhost 病毒。为此国内专业的移动应用安全企业爱加密研究团队推出了XcodeGhost 病毒解决方案,包含原理、方法、咨询、建议的全面解决方案。

  事件缘由:有技术人员介绍,一款APP的发布,首先是要编写源代码,在编写完成后,则需要将代码编译成“可 执行的文件”进行打包发布。苹果iOS APP的开发需要通过苹果自家出的Xcode,把源代码编译为可执行的APP,开发者才能把APP上传到苹果应用商店后台,经过苹果官方审核后,APP在 应用商店App Store上架,正式开放下载。

  但由于Xcode 体积较大,有几个GB,国内开发者如果直接从苹果下载的话速度非常缓慢。XcodeGhost木马的开发者利用了这一点,将加了后门木马的Xcode工具上传到国内网盘上,然后在各种iOS开发论坛发帖进行扩散传播。

  由于木马作者提供的Xcode版本齐全,国内网盘下载速度相比苹果官网也更加快速,各大公司的程序员在想要下载Xcode时只要轻轻搜索一下就 上钩了。然而,这个“加了料”的Xcode会在程序员编译APP的时候偷偷自动地把XcodeGhost的恶意代码也一并编译进去了,但程序员们对此毫不 知情。

  按道理,每款APP被放置到苹果的官方应用商店供用户下载前,是需要通过苹果平台的检测的。但遗憾的是苹果也没有检验出应用里含有木马病毒。

  事件影响:在网络上流传了各种受影响的APP列表及相关信息,比如“发现AppStore下载量最高的 5000个APP中有76款APP被XCodeGhost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这 次事件影响的用户数超过一亿”。

  爱加密安全专家表示目前已经检测到至少300个以上不同版本的应用感染了XcodeGhost 病毒,并且目前还在检测更多的应用,爱加密团队还会不断地更新检测的结果,并将有感染XcodeGhost 病毒的应用上传到安全数据库中,到爱加密的官网漏洞检测平台上实行一键检测,就可以知道一款APP有无病毒和漏洞,以及相应的病毒和漏洞种类。

  据悉,全球iOS 安全机构已经对此事表示了关注。根据相关安全部门的报告资料显示,此次XcodeGhost 波及的范围之广令人震惊,甚至将对移动安全的未来产生影响,事件还在进一步发酵之中。

解决方案

  针对此次XcodeGhost事件以及预防未来可能出现的安全威胁,爱加密提出以下解决方案:

  一、一键“清场”:

  1.开发工具安全检测

  爱加密提供工具,对MAC上的开发工具,主要是Xcode进行检测:

  1)安装新的Xcode之前对dmg文件进行md5验证,确保跟官方App Store上的一致。

  2)对于已经安装部署好的Xcode开发环境,对关键文件夹进行对比检测,列出与官方发布版本不一致的文件,如/Applications /Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs /目录下是否存在Library,编译器clang是否已经改变等。

  2.ipa包检测

  爱加密提供工具,对上线前ipa进行安全分析,主要包括:

  1)针对已经出现的病毒,进行特征码扫描分析。比如此次的XcodeGhost病毒,就可以通过分析ipa可执行文件是否包含”icloud-analysis.com”这个字符串来检测。

  2)针对未知的潜在病毒,爱加密安全专家将会对ipa进行人工渗透分析,及时发现异常行为。

  二、专业安全开发咨询:

  爱加密团队深耕移动应用安全领域多年,对于iOS 开发合规有整套的规范和原则;另外,对于银行金融类APP,爱加密团队里有拥有银行APP安全咨询十几年经验的安全专家给出咨询意见;

  三、额外建议:

  1.从官方下载开发工具以及第三方framework,对第三方framework进行人工分析,确保未被感染。爱加密安全专家对此次事情进行了深入分析,一致认为:如果使用被感染的第三方库,将很容易导致类似XcodeGhost这样的事件。

  2.对第三方插件进行人工分析。很多开发者喜欢使用第三立插件方便开发,但如果使用的是一个受感染的插件,也容易导致类似安全事件。

  3.防逆向,防二次打包。爱加密提供代码混淆编译器,可对字符串进行加密,对代码逻辑进行混淆,并提供反调试、越狱检测、防二次打包等技术,进一步加强app安全。

  爱加密安全团队呼吁:

  普通用户:随时关注安全通报情况,一旦确定感染病毒版本的APP,请尽快删除;随时关注官方APP的升级情况,一旦官方发布新版本,请尽快升级;

  开发者:请从官方下载Xcode乃至更多的开发工具,并建议进行MD5和SHA1双校验。后续要提高相关安全意识及参加相关安全开发的培训;遵守职业道德,用正规开发工具,遵循正规开发流程和方法;

  开发组织:请尽快进行内部代码安全性审核,同时可以考虑与专业的移动应用安全厂商进行合作,进行安全性评估,以及APP安全加密和监测;

  行业组织or主管机构:呼吁对APP安全性提出要求以及形成安全规范标准;

  苹果公司:及时检测和防范风险,加强安全性审核机制,不要对iOS系统安全性存在盲目的自信,并考虑与国内的移动应用安全组织和机构进行积极协作,促进安全生态环境建设。

  对于此次的XcodeGhost 病毒事件,爱加密的安全专家分析,如果这些应用一开始就使用了爱加密的安全编译器,或者在应用上传到市场之前,使用过爱加密的安全检测和应用加密,则可有效避免中招。

  另悉,爱加密是国内最早推出ios应用加密安全服务的企业。此次的XcodeGhost 病毒事件影响范围非常大,让一向以为苹果系统安全无忧的企业和用户们人心惶惶。苹果的安全神话再次被打破。

  所以,安全无小事,不能掉以轻心。安全防护要做到未雨绸缪,防患于未然。

  更多爱加密详情,可点击:http://www.ijiami.cn了解更多解决方案。

© 著作权归作者所有

共有 人打赏支持
科技创造
粉丝 36
博文 199
码字总数 174505
作品 0
徐汇
程序员
私信 提问
恶意软件 XcodeGhost 已更新,瞄准 iOS 9

通过重新打包Xcode并引诱开发者下载的方式,XcodeGhost恶意软件已经感染了无数iOS应用。然而在近期的一次升级之后,它已经将目标瞄向了iOS 9和更多美机构用户。这项发现由FireEye研究人员所披...

oschina
2015/11/04
5.5K
21
iOS警报:XcodeGhost已扩散至第三方框架

今年9月,苹果XcodeGhost事件引发了全社会的广泛关注,堪称App Store自2008年上线以来遭受的规模最大的攻击,涉及应用之广已完全超过想象,由此折射出当前互联网软件安全领域仍然存在严峻挑战...

一配
2015/11/13
0
0
苹果清除感染 XCodeGhost 的应用

苹果周日称它正从其应用商店内移除感染XcodeGhost的应用。恶意代码XcodeGhost通过第三方下载的Xcode编译器嵌入到了数百款合法应用中,其中包括流行的中国应用如微信和嘀嘀打车。在这之前,A...

oschina
2015/09/21
5.2K
43
事情还没结束!XcodeGhost 截胡攻击/服务端复现

转载自:http://drops.wooyun.org/papers/9024 作者:没羽,蒸米,阿刻,迅迪 @ 阿里移动安全 0x00 序 截胡,麻将术语,指的是某一位玩家打出一张牌后,此时如果多人要胡这张牌,那么按照逆时...

oschina
2015/09/22
10.7K
53
苹果回应 XcodeGhost:暂未发现个人信息受影响

苹果官网今日发文回应 XcodeGhost 事件,就其中几个关键问题作出解答。苹果称,目前没有任何信息表明这些恶意软件与任何恶意事件相关,也没有信息表明这些软件被使用在传播任何个人身份信息的...

oschina
2015/09/23
2.4K
12

没有更多内容

加载失败,请刷新页面

加载更多

C++ vector和list的区别

1.vector数据结构 vector和数组类似,拥有一段连续的内存空间,并且起始地址不变。 因此能高效的进行随机存取,时间复杂度为o(1); 但因为内存空间是连续的,所以在进行插入和删除操作时,会造...

shzwork
今天
3
0
Spring之invokeBeanFactoryPostProcessors详解

Spring的refresh的invokeBeanFactoryPostProcessors,就是调用所有注册的、原始的BeanFactoryPostProcessor。 相关源码 public static void invokeBeanFactoryPostProcessors(Configu......

cregu
昨天
4
0
ibmcom/db2express-c_docker官方使用文档

(DEPRECIATED) Please check DB2 Developer-C Edition for the replacement. What is IBM DB2 Express-C ? ``IBM DB2 Express-C``` is the no-charge community edition of DB2 server, a si......

BG2KNT
昨天
3
0
Ubuntu 18.04.2 LTS nvidia-docker2 : 依赖: docker-ce (= 5:18.09.0~3-0~ubuntu-bionic)

平台:Ubuntu 18.04.2 LTS nvidia-docker2 版本:2.0.3 错误描述:在安装nvidia-docker2的时候报dpkg依赖错误 nvidia-docker2 : 依赖: docker-ce (= 5:18.09.0~3-0~ubuntu-bionic) 先看一下依......

Pulsar-V
昨天
4
0
学习笔记1-goland结构体(struct)

写在前面:若有侵权,请发邮件by.su@qq.com告知。 转载者告知:如果本文被转载,但凡涉及到侵权相关事宜,转载者需负责。请知悉! 本文永久更新地址:https://my.oschina.net/bysu/blog/3036...

不最醉不龟归
昨天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部