一次猥瑣的 XcodeGhost 投毒，釀造了 iOS 平臺(tái)迄今為止最大的一次信任危機(jī)。此前僅有 5 款惡意 APP 通過審核的 App Store 目前已經(jīng)下架了超過 800 款受 XcodeGhost 感染的 APP。這次 XcodeGhost 事件的影響空前，但是危險(xiǎn)和機(jī)遇并存，在這次突發(fā)事件中，國(guó)內(nèi)各大安全平臺(tái)就借快速反應(yīng)和精準(zhǔn)分析給看客們留下了深刻印象。

XcodeGhost 事件的發(fā)端就是騰訊安全應(yīng)急響應(yīng)中心偶然發(fā)現(xiàn)的。在 9 月 14 日之前，騰訊安全應(yīng)急響應(yīng)中心發(fā)現(xiàn)有 APP 行為異常：

不久前，我們?cè)诟M(jìn)一個(gè)bug時(shí)發(fā)現(xiàn)有APP在啟動(dòng)、退出時(shí)會(huì)通過網(wǎng)絡(luò)向某個(gè)域名發(fā)送異常的加密流量，行為非常可疑，于是終端安全團(tuán)隊(duì)立即跟進(jìn)，經(jīng)過加班加點(diǎn)的分析和追查，我們基本還原了感染方式、病毒行為、影響面。

騰訊安全應(yīng)急響應(yīng)中心在對(duì)異常行為進(jìn)行分析之后上報(bào)了國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT），隨后在 9 月 14 日 CNCERT 發(fā)布了一條預(yù)警通報(bào)，并將信息通報(bào)到涉及其中的互聯(lián)網(wǎng)公司。

9 月 16 日，騰訊安全應(yīng)急響應(yīng)中心分析之后認(rèn)定僅 App Store 排行榜 TOP 5000 的 APP 內(nèi)就有 76 款被感染，于是迅速向蘋果和波及的廠商同步受感染信息。

此時(shí)信息還僅僅停留部分開發(fā)者可知的范圍內(nèi)。不過隨后有開發(fā)者開始在微博上發(fā)布相關(guān)信息，于是“APP 被投毒”的消息迅速在社交媒體微博、微信上開始擴(kuò)散，國(guó)外安全平臺(tái) paloalto 發(fā)布了第一份分析報(bào)告，更多的國(guó)內(nèi)安全平臺(tái)開始介入。

在 9 月 17 日，阿里移動(dòng)安全的蒸米和迅迪在安全原創(chuàng)平臺(tái)上發(fā)表《Xcode編譯器里有鬼 – XcodeGhost樣本分析》，公布了樣本分析結(jié)果，并對(duì)開發(fā)者自檢作出了提示：

為了防止app被插入惡意庫文件，開發(fā)者除了檢測(cè)”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs” 目錄下是否有可疑的framework文件之外，還應(yīng)該檢測(cè)一下Target->Build Setting->Search Paths->Framework Search Paths中的設(shè)置。看看是否有可疑的frameworks混雜其中。

同時(shí)，阿里移動(dòng)安全認(rèn)為 XcodeGhost 作者并沒有嚴(yán)重的惡意行為，但是提醒開發(fā)者在開發(fā)過程中還是需要注意此類安全問題。

雖然XCodeGhost并沒有非常嚴(yán)重的惡意行為，但是這種病毒傳播方式在iOS上還是首次。也許這只是病毒作者試試水而已，可能隨后還會(huì)有更大的動(dòng)作，請(qǐng)開發(fā)者務(wù)必要小心。

在阿里移動(dòng)安全初步分析了 XcodeGhost 之后，360 涅槃團(tuán)隊(duì)開始接管了 XcodeGhost 的檢測(cè)和深入分析工作。

9 月 18 日晚間，360 涅槃團(tuán)隊(duì)在對(duì) Xcode 木馬樣本分析之后發(fā)布了受影響的 APP 目錄，確認(rèn)包括微信（6.2.5）、嘀嘀出行（4.0.0）、滴滴打車（3.9.7）、聯(lián)通手機(jī)營(yíng)業(yè)廳（3.2）和網(wǎng)易云音樂（2.8.3）等 18 個(gè) APP 或 APP 版本受到波及。

蘋果iPhone手機(jī)通過官方Appstore下載的應(yīng)用程序已不再安全，請(qǐng)iPhone用戶及apple開發(fā)者自查木馬程序，及時(shí)清理，Xcode木馬樣本詳細(xì)分析報(bào)告如下 OXcode木馬詳細(xì)分析 @360安全應(yīng)急響應(yīng)中心 @360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 @360安全衛(wèi)士

9 月 19 日上午，在掃描了 14.5 萬個(gè) APP 之后，360 涅槃團(tuán)隊(duì)認(rèn)為被投毒的 APP 數(shù)量為 344 款。受波及的范圍存在擴(kuò)大化的趨勢(shì)。

團(tuán)隊(duì)連夜掃描14.5萬app，共發(fā)現(xiàn)344款app感染木馬，其中不乏有百度音樂，微信，高德，滴滴，花椒，58同城，網(wǎng)易云音樂，12306，同花順，南方航空，工行融e等用戶量很廣的app，涉及互聯(lián)網(wǎng)金融鐵路航空游戲等領(lǐng)域，危害極大@360安全衛(wèi)士 緊急擴(kuò)散。

在 9 月 19 日晚間，360 涅槃團(tuán)隊(duì)在互聯(lián)網(wǎng)安全媒體平臺(tái) FreeBuf 發(fā)布文章，在驗(yàn)證還原 XcodeGhost 邏輯結(jié)構(gòu)之后認(rèn)為其存在惡意下發(fā)木馬行為，推翻了此前阿里移動(dòng)安全認(rèn)為其沒有嚴(yán)重惡意行為的結(jié)論。

我們通過還原惡意iOS應(yīng)用與C2服務(wù)器的通信協(xié)議，測(cè)試出了受感染的iOS應(yīng)用有哪些惡意行為。經(jīng)過分析了攻擊的發(fā)起點(diǎn)Xcode，分析了其存在的弱點(diǎn)以及利用過程，并驗(yàn)證了該攻擊方法。

在 9 月 21 日，涅槃團(tuán)隊(duì)在 360 安全播報(bào)平臺(tái)發(fā)布消息稱檢測(cè)發(fā)現(xiàn)的被投毒的 APP 數(shù)量上升到 1078 款。

此時(shí)蘋果官方已經(jīng)于 19 日開始下架受感染 APP，正常的事態(tài)發(fā)展應(yīng)該是被投毒 APP 更新，XcodeGhost 影響逐漸被清除。但是本次事件并沒有就此收尾。

21 日晚百度安全實(shí)驗(yàn)室的 @evil_xi4oyu 在微博上曝出 Unity 中被植入了相同邏輯的惡意代碼將 XcodeGhost 事件推向了又一個(gè)高潮：

當(dāng)然不止是xcode , 已經(jīng)確認(rèn)Unity-4.X的感染樣本 增加了在./Unity/Unity.app/Contents/PlaybackEngines/iossupport/Trampoline/Libraries/libiPhone-lib-il2cpp.a 中的libiPhone-lib-il2cpp.a-*-master.o ,惡意代碼和 xcode中的邏輯一致，上線域名是init.icloud-diagnostics.com,各位開發(fā)再看看

今天（9 月 22 日）早上 3 點(diǎn)左右，阿里移動(dòng)安全的蒸米等人在烏云知識(shí)庫發(fā)布文章，詳細(xì)還原了此前 360 涅槃團(tuán)隊(duì)驗(yàn)證的 XcodeGhost 惡意行為，并認(rèn)為 XcodeGhost 還存在下載安裝企業(yè)證書 APP、施行 url scheme 攻擊等行為，同時(shí)發(fā)布投毒者論壇發(fā)帖截圖認(rèn)為 Unity 3D 確實(shí)被投毒，并且投毒者已經(jīng)開始刪除證據(jù)：

另外，有證據(jù)表明unity 4.6.4 – unity 5.1.1的開發(fā)工具也受到了污染，并且行為與XcodeGhost一致，更恐怖的是，還有證據(jù)證明XcodeGhost作者依然逍遙法外。

在整個(gè)事件過程中，騰訊、阿里、360 和百度的安全平臺(tái)全程推動(dòng)了對(duì) XcodeGhost 檢測(cè)和分析。XcodeGhost 事件還不知道后續(xù)將如何發(fā)展，但是就目前的表現(xiàn)而言，國(guó)內(nèi)幾大安全平臺(tái)你會(huì)給幾分？

Geeker 說：

XcodeGhost 不僅打破了 iOS 的“不破”神話，也許還能拉高國(guó)內(nèi)用戶對(duì)幾大安全軟件的信任度呢！