没经过MD5和SHA1双校验,你也敢用XCode安装包?

这星期iOS系统爆出XCodeGhost事件,事件主要过程就是APP开发者使用非苹果官方渠道下载的xcode安装包,在这些xcode安装包中,被别有用心的人植入了远程控制模块,通过修改xcode编译参数,将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac)中,从而生成具有官方的数字签名并上传到AppStore的APP。这一事件中,包括微信6.25版本,网易云音乐等知名应用纷纷中招。

各大论坛近20个各版本的xcode安装包,无一例外的都被植入了恶意的CoreServices.framework,能让开发出来的iOS应用在启动、后台、恢复、结束时上报信息至黑客控制的服务器,上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。黑客能随时随地给任何人下发伪协议指令,通过iOS openURL这个API来执行,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP,简单来说就是已经完全控制你的手机。

通过这个恶意模块,将机器硬件数据上报,远程执行伪协议命令,远程弹窗等,可以让一个普通iphone用户完全受控于黑客,譬如安装企业证书APP,实现非越狱远程远控(RCS),或者在付款时弹出指定页面,引导用户到其它界面付款等。在TOP5000的AppStore应用中,至少有上百个国人常用的APP中招,我只想问这些开发者,你们那么大的公司,连下载XCode开发包的带宽都没有?不止iOS,安卓环境更恶劣,因为Google被墙,绝大部分安卓开发者的下载都是通过百度网盘之类的分享下载开发环境,这些没有MD5和SHA1校验的程序包,究竟隐藏了多少后门?