本文作者：腾讯Bugly IOS开发工程师 徐望峰
这几天，相信iOS开发者都频繁的被 XcodeGhost 刷屏了！ 互联网上相关的各种分析及猜测都层出不穷，事件愈演愈烈，涉事 App 名单也在不断增加，不乏知名App。
关于XcodeGhost事件最详细的分析可见腾讯安全响应中心的文章 我们来告诉你完整的XCodeGhost事件
也许感受到了压力，今日凌晨，自称XcodeGhost的作者发布了致歉声明，声称XcodeGhost源于自己的试验，没有任何威胁性行为，并公开其源码。
然而，这真的只是一次试验么？试验性的东西至于始作俑者煞费苦心的到处上传，传播注入过的 Xcode 么？
XcodeGhost的Ghost到底在干什么
通过各种逆向分析及作者公布的源码中，我们看看这种“木马”到底具有什么样的能力：
1.上报信息
通过向域名为的服务器上报包括APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等信息。
如果只是上报信息的话，我等天朝人民早就习以为常了吧？ 基本可以忽略此类信息泄露。
2.下发指令
通过应答包可以下发指令，利用openUrl这个系统接口跳转，可以干的事包括跳转至其它App，打开指定网页，发短信，打电话等。
需要说明的是，除了利用Safari打开特定网页，其它行为的都会有用户确认环节，不会在用户无感知情况下就可以完成操作。
所以弹框内容一定要看啊！一定要看啊！一定要看啊！（重要的事情说三遍）
那么下发指令操作会带来哪些威胁呢？
譬如诱导用户安装企业证书签名的App，然后可以通过该App调用系统私有接口做更多的事情，例如前段时间曝光的 Hacking Team 的非越狱远程控制（RCS），基本可以接管你的iPhone了。
当然，在最新的iOS 9系统中，所有的企业证书签名应用都需要额外的证书信任操作环节，所以不会受到太大的威胁。
然而在低版本iOS系统中，如果突然弹框要求用户确认安装某应用，估计会有部分用户不假思索的点了确定，埋下了巨大的安全隐患。
目前注入App的恶意代码上报的服务器已经处于关闭状态，上述威胁都暂时不存在。 然而一旦某天该服务器又打开了，那么受影响的App开发商完全掌控不了局面！！！
这也是该次事件最无奈的地方——开发商只能采取发公告抚慰用户情绪，发布新版本等措施修复漏洞，其它的无能为力啊。
那么看完热闹后，各位开发者有没有检查过自己安装的Xcode是否受到感染？
怎样检测 XcodeGhost
检测Xcode是否受到感染的方法：
•    比较官网版本安装包和本地已安装版本安装包的SHA值
•    检查Xcode安装目录是否存在恶意代码的库文件
官网版本的Xcode目录结构的SDKs目录下没有Library目录，而XcodeGhost版本则有此目录并包含CoreService，其目录结构如下： /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
如果发现存在受感染版本的Xcode，开发者需要立即采取如下措施：
•    删掉受感染的 Xcode
•    官方渠道（App Store，developer.)下载 Xcode ,需要注意的是，不要用迅雷等加速服务
如果确认Xcode受到了感染，还是赶紧解决并编译新版本App进行更新吧。
小编有话说
工程师还是要保持良好的习惯，安全意识绝对不能少。开发工具一定要从官方渠道获取！ 当然大家会说，不是我不想，是网络环境太差啊！
在这里给大家插播一个福利：
腾讯 Bugly 团队提供了一个 镜像服务，提供各类开发工具和资源的下载(都是从官方渠道获得的)，其中，也包括 Xcode。
大家如果因为网络环境无法从官方渠道下载Xcode，可以试试用这个镜像服务。
________________________________________
最后的最后，好东西必须安利：
腾讯Bugly 团队一直秉承专业严谨的研发流程，一直都坚持从官方渠道获取开发工具，且通过我们内部的持续集成服务(RDM)进行构建，所以完全没有受到此次事件的影响，大家可以安心的使用。
One More Thing!
现在紧急更新版本还是适配下iOS 9的新特性吧？
Bugly最新的iOS SDK已经支持iOS 9新特性: Bitcode和App Transport Security(ATS)，赶紧用起来吧!