导语：可怕的国内黑客，聪明且疯狂！不仅开发出高技术含量XCode修改版，更能利用SEO(搜索引擎优化)来在网络推广修改版，让无数开发者中招。

　　这次事件的影响之大、之深远，相信几乎涉及所有国内外做iOS开发的圈子，甚至影响到其他平台的开发者们。微信等一线APP都中招，其实这已经不仅仅是某个开发者所谓的做了个实验的问题，不是什么电商账号和隐私安全的问题，大点说涉及国家安全也不为过。

　　我们在腾讯安全应急响应中心网站看到了关于对此次事件全方位还原的文章，了解到此事并非如此简单，现分享给大家。

　　原文如下：

　　【前言】

　　这几天安全圈几乎被XCodeGhost事件刷屏，大家都非常关注，各安全团队都很给力，纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后，我们认为，这还不是全部，所以我们来补充下完整的XCodeGhost事件。

　　由于行文仓促，难免有诸多错漏之处，还望同行批评指正。

　　【事件溯源】

　　事情要追溯到一周前。

　　9月12日，我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量，行为非常可疑，于是终端安全团队立即跟进，经过一个周末加班加点的分析和追查，我们基本还原了感染方式、病毒行为、影响面。

　　9月13日，产品团队发布了新版本。同时考虑到事件影响面比较广，我们立即知会了CNCERT，CNCERT也马上采取了相关措施。所以从这个时间点开始，后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。

　　9月14日，CNCERT发布了这个事件的预警公告。我们也更新了移动APP安全检测系统“金刚”。

 
图1 CNCERT发布的预警公告

　　9月16日，我们发现AppStore上的TOP5000应用有76款被感染，于是我们向苹果官方及大部分受影响的厂商同步了这一情况。

　　9月17日，嗅觉敏锐的国外安全公司paloalto发现了这个问题，并发布第一版分析报告，阿里移动安全也发布了分析报告。

　　接下来的事情大家都知道了，XCodeGhost事件迅速升温，成为行业热点，更多的安全团队和专家进行了深入分析，爆出了更多信息。

　　【被遗漏的样本行为分析】

　　1) 在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器

　　上报的信息包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息，能精准的区分每一台iOS设备。

　　上报的域名是icloud-analysis.com，同时我们还发现了攻击者的其他三个尚未使用的域名。

 
图2上传机器数据的恶意代码片段

　　2) 黑客可以下发伪协议命令在受感染的iPhone中执行

　　黑客能够通过上报的信息区分每一台iOS设备，然后如同已经上线的肉鸡一般，随时、随地、给任何人下发伪协议指令，通过iOS openURL这个API来执行。

　　相信了解iOS开发的同学都知道openURL这个API的强大，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方APP。实际上，iPhone上的APP如果被感染，完全可以理解为黑客已经基本控制了你的手机！

 
图3控制执行伪协议指令的恶意代码片段

　　3) 黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口

　　和远程执行指令类似，黑客也可以远程控制弹出任何对话框窗口。至于用途，将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来，反正我们是能够通过这几个功能，用一点点社工和诱导的方式，在受感染的iPhone中安装企业证书APP。装APP干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗？

 
图4控制远程弹窗的恶意代码片段

　　4) 远程控制模块协议存在漏洞，可被中间人攻击

　　在进行样本分析的同时，我们还发现这个恶意模块的网络协议加密存问题，可以被轻易暴力破解。我们尝试了中间人攻击，验证确实可以代替服务器下发伪协议指令到手机，成为这些肉鸡的新主人。

 
图5存在安全漏洞的协议解密代码片段

　　值得一提的是，通过追查我们发现植入的远程控制模块并不只一个版本。而现已公开的分析中，都未指出模块具备远程控制能力和自定义弹窗能力，而远程控制模块本身还存在漏洞可被中间人攻击，组合利用的威力可想而知。这个事件的危害其实被大大的低估了。

　　【感染途径】

　　分析过程中我们发现，异常流量APP都是大公司的知名产品，也是都是从AppStore下载并具有官方的数字签名，因此并不存在APP被恶意篡改的可能。随后我们把精力集中到开发人员和相关编译环境中。果然，接下来很快从开发人员的xcode中找到了答案。

　　我们发现开发人员使用的路径xcodeXcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下，存在一个名为CoreServices.framework的“系统组件”，而从苹果官方下载的xcode安装包，却不存在这些目录和“系统组件”。

 
图6被感染恶意代码的xcode包路径

　　原来开发人员的xcode安装包中，被别有用心的人植入了远程控制模块，通过修改xcode编译参数，将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac)中。

　　水落石出了，罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。

　　通过百度搜索“xcode”出来的页面，除了指向苹果AppStore的那几个链接，其余的都是通过各种id(除了coderfun，还有使用了很多id，如lmznet、jrl568等)在各种开发社区、人气社区、下载站发帖，最终全链到了不同id的百度云盘上。为了验证，团队小伙伴们下载了近20个各版本的xcode安装包，发现居然无一例外的都被植入了恶意的CoreServices.framework，可见投放这些帖子的黑客对SEO也有相当的了解。

 
图7 XCodeGhost作者在知名论坛上发布xcode的下载帖

　　进一步来看，攻击者做到的效果是只要是通过搜索引擎下载xcode，都会下载到他们的XCodeGHost，还真的做到了幽灵一样的存在。

　　【影响面】

　　在清楚危害和传播途径后，我们意识到在如此高级的攻击手法下，被感染的可能不只一个两个APP，于是我们马上对AppStore上的APP进行检测。

　　最后我们发现AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染，其中不乏大公司的知名应用，也有不少金融类应用，还有诸多民生类应用。根据保守估计，受这次事件影响的用户数超过一亿。

　　【后记】

　　经过这一事件后，开发小伙伴们纷纷表示以后只敢下官方安装包，还要MD5和SHA1双校验。而这个事件本身所带来的思考，远不止改变不安全的下载习惯这么简单。

　　经过这两年若干次攻击手法的洗礼后，我们更加清醒的意识到，黑产从业者早已不是单兵作战的脚本小子，而是能力全面的黑客团队。

　　总结来看，移动互联网安全之路任重道远。当然，这里的危机也是安全行业的机遇。

　　【iPhone中文网】近日由于开发者从第三方渠道下载被植入了恶意代码的iOS应用开发工具XcodeGhost，许多iOS应用被感染病毒，其中包括网易云音乐、12306、滴滴出行等用户常用的应用，目前网易云音乐已经于昨天给出回应，而滴滴出行也在不久之前针对此事发出公告，疑似XcodeGhost作者也已公开源码并致歉，那么这件事情中苹果是如何处理的呢？这一点似乎被很多人忽略了。

　　据悉，目前有多名开发者透露，他们已经收到了来自苹果的下架通知，同时，苹果还说明了重新上架的条件：首先开发者需要通过官方渠道下架XcodeGhost感染的软件，然后再对软件进行重新编译，最后是提交软件等待审核。开发者表示，这些事情是发生在应用被感染24小时之内的。

　　可见，苹果在这件事情的处理上还算及时有力的。同时，这件事情也算提了个醒，无论是对于用户还是开发者来说，下载不明来源的软件和固件终归是危险的。

　　【iPhone中文网】iPhone 6s和iPhone 6s Plus或许最快也要到25号才能达到普通消费者的手中，用户们届时就可以体验到这款新手机的拍摄能力。不过，或许是苹果急于展示这款旗舰的拍摄水平，据闻苹果已经将新机交给了Vogue，并为纽约时装周拍摄了一组照片，以呈现了相机的拍摄效果。

　　摄像头的升级是iPhone 6s和iPhone 6s Plus的一大亮点，除了将主摄像头像素升级到1200万之外，苹果还表示相比上一代的手机增加了50%的像素，并改善了自动对焦的准确性，全新的摄像头还支持4K视频录制。

　　负责拍摄这组照片的摄影师Kevin Lu分享了使用iPhone 6s Plus的拍照体验：

　　“快门速度很快，我可以随心所欲地拍摄更多照片，而且不会错失任何瞬间。我还拍摄了视频，4K视频录制真的很有用，因为在手机上能够拍摄如此高质量的视频是惊人的，你可以看到大量的细节。”

　　值得一提的是，Kevin Lu是一位职业的摄影师，他的作品也曾经入选过苹果的拍摄宣传活动，他认为新iPhone可以帮助业余的摄影爱好者拍摄更精美的照片。

　　【iPhone中文网】据《福布斯》网络版报道，野村证券和加拿大皇家银行周五发表投资报告称，iPhone 6s将提振苹果2016财年的财务业绩。两家公司的分析师都认为，市场低估了iPhone 6s销售的潜在影响。野村证券分析师杰弗里·克沃尔(Jeffrey Kvaal)表示，“我们认为市场对iPhone销量的预期过于保守。”他预期2016年iPhone 6s销量将达到2.5亿部，高于2.33亿部的平均预期。克沃尔的预期依赖于中国因素。

　　克沃尔称，“鉴于首发市场包括中国，苹果认为销售第一个周末iPhone 6s销量将超过2014年的1000万部并未‘揭示真相’。中国在iPhone销量中的占比由2014年第三季度的15%上升至2015年第二季度的27%，因此，第一个周末iPhone 6s销量应当更高。”

　　克沃尔指出，iPhone 6降价有助于苹果蚕食Android平板手机的市场份额，“我们认为iPhone 6的普及率仍然相当低”。

　　加拿大皇家银行分析师阿米特·德莱纳尼(Amit Daryanani)也看好iPhone 6s销售，但警告投资者称，iPhone 6s的真正影响要到第四季度(苹果2016财年第一季度)才能显现出来，“鉴于iPhone 6s发布时间，我们认为第四季度销量将会超过7400万部的最高记录”。

　　德莱纳尼表示，这与iPhone发售时间有关。苹果第四财季截止时间是9月26日。去年，iPhone 6发售时间是9月19日，这意味着前9天的销售要计入2014财年第四季度;今年iPhone 6s发售时间是9月25日，这意味着只有前2天的销售会计入2015财年第四季度。加拿大皇家银行预计，这一影响会导致今年第四季度新款iPhone销量比去年同期增加200万-250万部，营收增长15亿-20亿美元。

　　一向号称最安全的iOS最近也不安全了，多款常用的App如网易云音乐、滴滴出行、12306等均被一个叫做XCodeGhost木马感染，并且这份名单正在不断扩大。对于不明就里的群众，此时最慌的是“ XcodeGhost是个什么东西？我们应该怎么办？”
　　
　　Xcode是苹果的开发工具
　　
　　Xcode 是苹果公司的官方开发工具，运行在操作系统 Mac OS X 上，是目前开发者开发 Mac OS 和 iOS 应用程序的最普遍的方式。

　　为什么Xcode会出问题？
　　
　　XcodeGhost 病毒主要通过非官方下载的 Xcode 传播，能够在开发过程中通过 CoreService 库文件进行感染，使编译出的 App 被注入第三方的代码，向指定网站上传用户数据。
　　
　　也就是说，开发者下载的非官方途径的Xcode带有XcodeGhost 病毒。有网友猜测是与迅雷有关，通过迅雷下载的Xcode是被修改的程序。
　　
　　不过在今日早间迅雷官方作出回应，称经过工程师排查，迅雷离线服务器上Xcode6.4和7.0两个版本与官方下载内容一致。
　　
　　暂且把国内病毒下载来源放一边，喜欢刨根问底的网友会好奇，为什么不从官方下载？
　　
　　许多开发者给出的答案是：官方根本下载不下来！

 
Mac App Store 总是很难打开的样子

　　Xcode官方下载渠道是在Mac App Store 里下载，但是很多使用Mac笔记本的网友应该了解，Mac App Store 总是很难打开的样子。
　　
　　因此有些着急程序员为了方便，直接使用了国内的下载工具下载，因而也就下载到了带有XcodeGhost 病毒的Xcode。
　　
　　解决办法
　　
　　对于iOS用户来说，首先不必太过慌张。XcodeGhost 病毒目前会上传产品自身的部分基本信息(安装时间，应用ID，应用名称，系统版本，语言，国家)等，不会涉及到个人信息。另外，感染制作者的服务器已关闭，已经不构成实质上的信息泄露。
　　
　　但需要警醒的是，之前已经有部分用户信息被发往了目标服务器，并且截至目前苹果官方并没有站出来给出解决方案，XcodeGhost病毒的“真凶”也没有抓到。对于普通用户来说，仍然需要多加小心。

 
微博网友“月光博客”制图

　　在上图中，中招的App都是特定的版本。网友应注意对照自己手机里App的版本，如果是上图中的版本，稳妥起见暂时不要打开，静待更新。
　　
　　而目前微信、下厨房等已经进行了修复并将版本修复，用户升级到新版即可。

　　此外，有用户爆料， XcodeGhost 病毒可以在未越狱的 iPhone 上伪造弹窗进行钓鱼攻击，其生成的对话窗口仿真度非常高，很难辨别，因此用户如果在之前输入过iTunes密码，那么一定要尽快进行修改。
　　
　　对于开发者，网络上也有给出解决办法：
　　
　　1、高优先级检测所有编译服务器、自动发布服务器中的Xcode 是否被感染。 2、开发者需要检查系统中所有版本的 Xcode 是否被感染。 3、如果受感染，首先删除受感染的 Xcode，然后从 Mac AppStore 或者从开发者中心下载 Xcode。 4、如果线上的应用是用受感染的Xcode 发布的过，请使用官方的 Xcode 清理、重新编译应用，然后上传AppStore，尽量向苹果说明情况，从而走 AppStore 的紧急上线流程。
　　
　　最新进展：自称XcodeGhost作者致歉 今日早间，有部分微博网友贴出了一个自称是XcodeGhost作者的致歉，该作者承认自己出于私心，在代码里加入了广告功能。他也提到自己在10天前，已主动关闭服务器，并删除所有数据。
　　
　　但这一消息截至发稿仍未得到任何官方的验证，表明此人就是XcodeGhost作者。
　　
　　以下是致歉原文：
　　
　　"XcodeGhost" Source 关于所谓”XcodeGhost”的澄清。
　　
　　首先，我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验，没有任何威胁性行为，详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost。
　　
　　所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现：修改Xcode编译配置文本可以加载指定的代码文件，于是我写下上述附件中的代码去尝试，并上传到自己的网盘中。
　　
　　在代码中获取的全部数据实际为基本的app信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型。除此之外，没有获取任何其他数据。需要郑重说明的是：出于私心，我在代码加入了广告功能，希望将来可以推广自己的应用（有心人可以比对附件源代码做校验）。但实际上，从开始到最终关闭服务器，我并未使用过广告功能。而在10天前，我已主动关闭服务器，并删除所有数据，更不会对任何人有任何影响。
　　
　　愿谣言止于真相，所谓的"XcodeGhost"，以前是一次错误的实验，以后只是彻底死亡的代码而已。
　　
　　需要强调的是，XcodeGhost不会影响任何App的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。
　　
　　再次真诚的致歉，愿大家周末愉快