【免费】Xcode非官方版本恶意代码污染事件（XcodeGhost）的分析与综述1

xcode

需积分: 0 18 浏览量 2022-08-04 11:23:44 上传评论收藏 2.73MB PDF 举报

资源详情

资源评论

资源推荐

首次发布时间：2015 年 09 月 20 日 22 时 00 分

本版本更新时间：2015 年 09 月 30 日 08 时 41 分

Xcode 非官方版本恶意代码污染事件（XcodeGhost）

的分析与综述

AVL TEAM&ANTIY CERT

摘要

Xcode 是由苹果公司发布的运行在操作系统 Mac OS X 上的集成开发工具（IDE），是开发 OS X 和 iOS

应用程序的最主流工具。

2015 年 9 月 14 日起，一例 Xcode 非官方版本恶意代码污染事件逐步被关注，并成为社会热点事件。攻

击者通过对 Xcode 进行篡改，加入恶意模块，并进行各种传播活动，使大量开发者使用被污染过的版本，

建立开发环境。经过被污染过的 Xcode 版本编译出的 App 程序，将被植入恶意逻辑，其中包括向攻击者注

册的域名回传若干信息，并可能导致弹窗攻击和被远程控制的风险。

本事件由腾讯相关安全团队发现，并上报国家互联网应急中心，国家互联网应急中心发出了公开预警，

阿里安全研究员蒸米、Xundi 根据分析将这一事件称为“XcodeGhost”，这一名称被其他机构和研究者所沿

袭。PaloAlto Network、360、盘古、微步、i 春秋等安全厂商和团队机构，对事件进行了大量跟进分析、普

查和解读工作。有多个分析团队发现著名的游戏开发工具 Unity 3D、Cocos 2d-x 也被同一作者进行了地下供

应链污染，因此会影响更多的操作系统平台。截止到本版本报告发布，尚未发现“XcodeGhost”组织对其

他更多开发环境的影响，但安天分析小组基于 JAVA 代码和 Native 代码的开发特点，同样发出了相关风险

预警。

截止到 2015 年 9 月 20 日，各方已经累计发现当前已确认共 692 种（如按版本号计算为 858 个）App

曾受到污染，受影响的厂商中包括了微信、滴滴、网易云音乐等著名应用。

从确定性的行为来看，尽管有些人认为这一恶意代码窃取的信息“价值有限”，但从其感染面积、感染

数量和可能带来的衍生风险来看，其可能是移动安全史上最为严重的恶意代码感染事件，目前来看唯有此

前臭名昭著的 Carrier IQ 能与之比肩。但与 Carrier IQ 具有强力的“官方”推广方不同，这次事件是采用了

非官方供应链（工具链）污染的方式，其反应出了我国互联网厂商研发“野蛮生长”，安全意识低下的现状。

长期以来，业界从供应链角度对安全的全景审视并不足够，但供应链上的各个环节，都有可能影响到最终

产品和最终使用场景的安全性。在这个维度上，开发工具、固件、外设等“非核心环节”的安全风险，并

不低于操作系统，而利用其攻击的难度可能更低。因此仅关注供应链的基础和核心环节是不够的，而同时，

我们必须高度面对现实，深刻分析长期困扰我国信息系统安全的地下供应链问题，并进行有效地综合治理。

1 背景...................................................................................................................................................................... 1

2 作用机理与影响 ................................................................................................................................................... 1

2.1 作用机理 ............................................................................................................................................................. 2

2.1.1

样本信息

..................................................................................................................................................... 2

2.1.2

感染方式

..................................................................................................................................................... 4

2.1.3

危害分析

..................................................................................................................................................... 7

2.1.4

中间人利用

............................................................................................................................................... 12

2.2 影响面分析 ....................................................................................................................................................... 13

3 扩散、组织分析 .................................................................................................................................................. 14

3.1 传播分析 ........................................................................................................................................................... 14

3.2 攻击者情况猜测 ............................................................................................................................................... 17

3.3 开发环节的安全问题分析................................................................................................................................ 18

3.3.1 Mac&iOS app

签名方式

................................................................................................................................ 18

3.3.2 Mac

上官方签名工具

codesign

验证

App

方式

........................................................................................... 18

3.3.3

官方推荐

Xcode

验证工具

spclt ............................................................................................................... 20

4 ANDROID 风险预警 ............................................................................................................................................. 22

4.1 预警背景 ........................................................................................................................................................... 22

4.2 JAVA 代码开发生产环境的风险 ....................................................................................................................... 24

4.3 NATIVE 代码开发生产环境的风险 ..................................................................................................................... 24

5 全景的安全视野才能减少盲点 ........................................................................................................................... 24

外一篇：我们的检讨 .................................................................................................................................................. 26

附录一：参考资料 ...................................................................................................................................................... 27

附录二：事件时间链与相关链接 ............................................................................................................................... 28

附录三：报告版本演进、封版说明 ........................................................................................................................... 33

附录四：关于安天 ...................................................................................................................................................... 34