注册 登录
编程论坛 IPhone(iOS)开发

腾讯Bugly带您分析,迄今为止影响最大的iOS安全隐患

bug的世界 发布于 2015-09-20 01:04, 5203 次点击
本文作者:腾讯Bugly IOS开发工程师 徐望峰
这几天,相信iOS开发者都频繁的被 XcodeGhost 刷屏了! 互联网上相关的各种分析及猜测都层出不穷,事件愈演愈烈,涉事 App 名单也在不断增加,不乏知名App。
关于XcodeGhost事件最详细的分析可见腾讯安全响应中心的文章 我们来告诉你完整的XCodeGhost事件
也许感受到了压力,今日凌晨,自称XcodeGhost的作者发布了致歉声明,声称XcodeGhost源于自己的试验,没有任何威胁性行为,并公开其源码。
然而,这真的只是一次试验么?试验性的东西至于始作俑者煞费苦心的到处上传,传播注入过的 Xcode 么?
XcodeGhost的Ghost到底在干什么
通过各种逆向分析及作者公布的源码中,我们看看这种“木马”到底具有什么样的能力:
1.上报信息
通过向域名为的服务器上报包括APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等信息。
如果只是上报信息的话,我等天朝人民早就习以为常了吧? 基本可以忽略此类信息泄露。
2.下发指令
通过应答包可以下发指令,利用openUrl这个系统接口跳转,可以干的事包括跳转至其它App,打开指定网页,发短信,打电话等。
需要说明的是,除了利用Safari打开特定网页,其它行为的都会有用户确认环节,不会在用户无感知情况下就可以完成操作。
所以弹框内容一定要看啊!一定要看啊!一定要看啊!(重要的事情说三遍)
那么下发指令操作会带来哪些威胁呢?
譬如诱导用户安装企业证书签名的App,然后可以通过该App调用系统私有接口做更多的事情,例如前段时间曝光的 Hacking Team 的非越狱远程控制(RCS),基本可以接管你的iPhone了。
当然,在最新的iOS 9系统中,所有的企业证书签名应用都需要额外的证书信任操作环节,所以不会受到太大的威胁。
然而在低版本iOS系统中,如果突然弹框要求用户确认安装某应用,估计会有部分用户不假思索的点了确定,埋下了巨大的安全隐患。
目前注入App的恶意代码上报的服务器已经处于关闭状态,上述威胁都暂时不存在。 然而一旦某天该服务器又打开了,那么受影响的App开发商完全掌控不了局面!!!
这也是该次事件最无奈的地方——开发商只能采取发公告抚慰用户情绪,发布新版本等措施修复漏洞,其它的无能为力啊。
那么看完热闹后,各位开发者有没有检查过自己安装的Xcode是否受到感染?
怎样检测 XcodeGhost
检测Xcode是否受到感染的方法:
•    比较官网版本安装包和本地已安装版本安装包的SHA值
•    检查Xcode安装目录是否存在恶意代码的库文件
官网版本的Xcode目录结构的SDKs目录下没有Library目录,而XcodeGhost版本则有此目录并包含CoreService,其目录结构如下: /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
如果发现存在受感染版本的Xcode,开发者需要立即采取如下措施:
•    删掉受感染的 Xcode
•    官方渠道(App Store,developer.)下载 Xcode ,需要注意的是,不要用迅雷等加速服务
如果确认Xcode受到了感染,还是赶紧解决并编译新版本App进行更新吧。
小编有话说
工程师还是要保持良好的习惯,安全意识绝对不能少。开发工具一定要从官方渠道获取! 当然大家会说,不是我不想,是网络环境太差啊!
在这里给大家插播一个福利:
腾讯 Bugly 团队提供了一个 镜像服务,提供各类开发工具和资源的下载(都是从官方渠道获得的),其中,也包括 Xcode。
大家如果因为网络环境无法从官方渠道下载Xcode,可以试试用这个镜像服务。
________________________________________
最后的最后,好东西必须安利:
腾讯Bugly 团队一直秉承专业严谨的研发流程,一直都坚持从官方渠道获取开发工具,且通过我们内部的持续集成服务(RDM)进行构建,所以完全没有受到此次事件的影响,大家可以安心的使用。
One More Thing!
现在紧急更新版本还是适配下iOS 9的新特性吧?
Bugly最新的iOS SDK已经支持iOS 9新特性: Bitcode和App Transport Security(ATS),赶紧用起来吧!
1 回复
1