首页> 技术观点 > 爱加密推出XcodeGhost解决方案,护iOS系统APP安全

爱加密推出XcodeGhost解决方案,护iOS系统APP安全

发布时间:2015-09-23

 这几天科技圈已经被 iOS XcodeGhost 病毒事件刷屏。目前已经有多款应用被证实感染了 XcodeGhost 病毒。为此国内专业的移动应用安全企业爱加密研究团队推出了XcodeGhost病毒解决方案,包含原理、方法、咨询、建议的全面解决方案。

 

 事件缘由:有技术人员介绍,一款APP的发布,首先是要编写源代码,在编写完成后,则需要将代码编译成“可执行的文件”进行打包发布。苹果iOS APP的开发需要通过苹果自家出的Xcode,把源代码编译为可执行的APP,开发者才能把APP上传到苹果应用商店后台,经过苹果官方审核后,APP在应用商店App Store上架,正式开放下载。

 但由于Xcode 体积较大,有几个GB,国内开发者如果直接从苹果下载的话速度非常缓慢。XcodeGhost木马的开发者利用了这一点,将加了后门木马的Xcode工具上传到国内网盘上,然后在各种 iOS开发论坛发帖进行扩散传播。

 由于木马作者提供的 Xcode版本齐全,国内网盘下载速度相比苹果官网也更加快速,各大公司的程序员在想要下载Xcode时只要轻轻搜索一下就上钩了。然而,这个“加了料”的Xcode会在程序员编译APP的时候偷偷自动地把XcodeGhost的恶意代码也一并编译进去了,但程序员们对此毫不知情。

 按道理,每款APP被放置到苹果的官方应用商店供用户下载前,是需要通过苹果平台的检测的。但遗憾的是苹果也没有检验出应用里含有木马病毒。 

 事件影响:在网络上流传了各种受影响的APP列表及相关信息,比如“发现AppStore下载量最高的5000APP中有76APPXCodeGhost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这次事件影响的用户数超过一亿”。

 爱加密安全专家表示目前已经检测到至少300个以上不同版本的应用感染了 XcodeGhost 病毒,并且目前还在检测更多的应用,爱加密团队还会不断地更新检测的结果,并将有感染 XcodeGhost 病毒的应用上传到安全数据库中,到爱加密的官网漏洞检测平台上实行一键检测,就可以知道一款APP有无病毒和漏洞,以及相应的病毒和漏洞种类。

 据悉,全球 iOS 安全机构已经对此事表示了关注。根据相关安全部门的报告资料显示,此次XcodeGhost 波及的范围之广令人震惊,甚至将对移动安全的未来产生影响,事件还在进一步发酵之中。


解决方案

  针对此次XcodeGhost事件以及预防未来可能出现的安全威胁,爱加密提出以下解决方案:

    一、一键“清场”:

    1.开发工具安全检测

  爱加密提供工具,对MAC上的开发工具,主要是Xcode进行检测:

    1)安装新的Xcode之前对dmg文件进行md5验证,确保跟官方App Store上的一致。

    2)对于已经安装部署好的Xcode开发环境,对关键文件夹进行对比检测,列出与官方发布版本不一致的文件,/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/目录下是否存在Library,编译器clang是否已经改变等。

    2ipa包检测

  爱加密提供工具,对上线前ipa进行安全分析,主要包括:

    1)针对已经出现的病毒,进行特征码扫描分析。比如此次的XcodeGhost病毒,就可以通过分析ipa可执行文件是否包含”icloud-analysis.com”这个字符串来检测。

    2)针对未知的潜在病毒,爱加密安全专家将会对ipa进行人工渗透分析,及时发现异常行为。

   二、专业安全开发咨询:

 爱加密团队深耕移动应用安全领域多年,对于 iOS 开发合规有整套的规范和原则;另外,对于银行金融类APP,爱加密团队里有拥有银行APP安全咨询十几年经验的安全专家给出咨询意见;

   三、额外建议:

   1.从官方下载开发工具以及第三方framework,对第三方framework进行人工分析,确保未被感染。爱加密安全专家对此次事情进行了深入分析,一致认为:如果使用被感染的第三方库,将很容易导致类似XcodeGhost这样的事件。

   2.对第三方插件进行人工分析。很多开发者喜欢使用第三立插件方便开发,但如果使用的是一个受感染的插件,也容易导致类似安全事件。

   3.防逆向,防二次打包。爱加密提供代码混淆编译器,可对字符串进行加密,对代码逻辑进行混淆,并提供反调试、越狱检测、防二次打包等技术,进一步加强app安全。   

 爱加密安全团队呼吁:

   普通用户:随时关注安全通报情况,一旦确定感染病毒版本的APP,请尽快删除;随时关注官方APP的升级情况,一旦官方发布新版本,请尽快升级;

   开发者:请从官方下载Xcode乃至更多的开发工具,并建议进行MD5SHA1双校验。后续要提高相关安全意识及参加相关安全开发的培训;遵守职业道德,用正规开发工具,遵循正规开发流程和方法;

   开发组织:请尽快进行内部代码安全性审核,同时可以考虑与专业的移动应用安全厂商进行合作,进行安全性评估,以及APP安全加密和监测;

   行业组织or主管机构:呼吁对APP安全性提出要求以及形成安全规范标准;

   苹果公司:及时检测和防范风险,加强安全性审核机制,不要对iOS系统安全性存在盲目的自信,并考虑与国内的移动应用安全组织和机构进行积极协作,促进安全生态环境建设。

 对于此次的XcodeGhost 病毒事件,爱加密的安全专家分析,如果这些应用一开始就使用了爱加密的安全编译器,或者在应用上传到市场之前,使用过爱加密的安全检测和应用加密,则可有效避免中招。

 另悉,爱加密是国内最早推出ios应用加密安全服务的企业。此次的XcodeGhost 病毒事件影响范围非常大,让一向以为苹果系统安全无忧的企业和用户们人心惶惶。苹果的安全神话再次被打破。

 所以,安全无小事,不能掉以轻心。安全防护要做到未雨绸缪,防患于未然。


加入收藏