滴滴、网易云音乐都中招的 XcodeGhost 病毒是怎么

编者按：本文来自乌云漏洞报告平台（微信号：wooyun_），作者蒸米、迅迪。昨天开始，有网友指出非官方渠道下载的 Xcode 编译出来的 App 会被注入了第三方的代码，向一个网站上传数据，到昨晚为止已有几家公司承认问题的存在。所以到底这个 XcodeGhost 是怎么回事？对用户安全的威胁多大？

我们苹果设备上的 APP 都是由苹果 Xcode 开发工具所编写，但 Xcode 体积过于庞大，如果在苹果官方商店安装会非常缓慢，于是很多开发者会在网盘或迅雷下载。但这些非官方渠道的 Xcode 竟然暗藏杀机，利用开发者感染了企业上架的 APP……

所以这次事件的逻辑是：

黑客将包含恶意功能的 Xcode 重新打包，发到各大苹果开发社区供人下载；

来自于各企业内的开发者下载安装了包含恶意代码的 Xcode 编写 APP；

恶意 Xcode 开始工作，向这些 APP 注入信息窃取功能；

被注入恶意功能的 APP 通过审核上架苹果官方商店；

用户在苹果商店安装了这些被感染的 APP；

那么，现在已经发现被感染的 APP 有哪些呢？

0x00 目前发现的部分被感染 APP

微博用户 @ 图拉鼎 在本机上测试发现，已有 10 余个知名 app 中招。

网易云音乐（已回应确认）

滴滴出行

12306

中国联通手机营业厅

高德地图

简书

豌豆荚的开眼（已回应确认）

网易公开课

下厨房

51 卡保险箱

同花顺

中信银行动卡空间

仍然不短增长中……

微博用户 @not_so_bad 发现，微信 v6.2.5 版受影响，@ 腾讯用户服务 其微博下评论确认存在，并表示目前最新版微信已修复。

目前微博、推特上仍有网友发现有新应用存在问题。乌云建议，使用非官方渠道下载 Xcode 的 iOS 开发者请立刻展开自查，并对受影响版本进行处理。虽然目前还没发现问题应用会盗取用户敏感信息，但建议用户能开启 iCloud 二次验证，并保持良好的使用习惯。

0x01 序

事情的起因是 @ 唐巧_boy 在微博上发了一条微博说到：一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码，会向一个网站上传数据，目前已知两个知名的 App 被注入。

随后很多留言的小伙伴们纷纷表示中招，@ 谁敢乱说话表示：” 还是不能相信迅雷，我是把官网上的下载 URL 复制到迅雷里下载的，还是中招了。我说一下：有问题的 Xcode6.4.dmg 的 sha1 是：a836d8fa0fce198e061b7b38b826178b44c053a8，官方正确的是：672e3dcb7727fc6db071e5a8528b70aa03900bb0，大家一定要校验。” 另外还有一位小伙伴表示他是在百度网盘上下载的，也中招了。

0x01 样本分析

在 @ 疯狗 @longye 的帮助下，@JoeyBlue_ 为我们提供了病毒样本:CoreService 库文件，因为用带这个库的 Xcode 编译出的 app 都会中毒，所以我们给这个样本起名为：XCodeGhost。CoreService 是在”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/” 目录下发现的。

用 ida 打开，发现样本非常简单，只有少量函数。主要的功能就是先收集一些 iPhone 和 app 的基本信息，包括：时间，bundle id (包名)，应用名称，系统版本，语言，国家等。如图所示：

随后会把这些信息上传到 init.icloud-analysis.。如图所示：

http://init.icloud-analysis. 并不是 apple 的官方网站，而是病毒作者所申请的仿冒网站，用来收集数据信息的。

目前该网站的服务器已经关闭，用 whois 查询服务器信息也没有太多可以挖掘的地方。这说明病毒作者是个老手，并且非常小心，在代码和服务器上都没有留下什么痕迹，所以不排除以后还会继续做作案的可能。

0x03 思考&总结

虽然 XCodeGhost 并没有非常严重的恶意行为，但是这种病毒传播方式在 iOS 上还是首次。也许这只是病毒作者试试水而已，可能随后还会有更大的动作，请开发者务必要小心。

这个病毒让我想到了 UNIX 之父 Ken Thompson 的图灵奖演讲 “Reflections of Trusting Trust”。他曾经假设可以实现了一个修改的 t，用它编译 su login 能产生后门，用修改的 t 编译 “正版” 的 t 代码也能够产生有着同样后门的 t。也就是不论 bootstrap (用 t 编译 t) 多少次，不论如何查看源码都无法发现后门，真是细思恐极啊。

0x04 后续

我们将持续跟进这次事件。不过在网上，其实还有很多令人思考的地方，在文末也顺带给大家摘抄一部分：

微博用户 @Saic

拿文件看了一下，这个木马劫持了所有系统的弹窗（例如 IAP 支付），然后向目标服务器发送了加密数据，目前还不知怎么解密发出去的请求

Drops 读者 yoyokko

基本确定病毒先将信息 post 到服务器，收到服务器返回后，connectiondidfinishloading 里调用 response 的 block 代码，里面弹出 alertview，如果这个 alertview 不是用来伪装 icloud 密码输入框岂不是被人发现了？不确定服务器是否有开关来选择性的弹出 alertview。另外病毒有部分字符串被加密，病毒里还自带 encrypt 和 decrypt 函数，居心叵测！！千万别以为只上传了部分非隐私的信息就放松警惕！

Drops 读者小奥

除了 @ 图拉鼎 曝光的几个受到 XcodeGhost.Blackdoor 病毒的 App 外，我在 App Store 前 50 名里还找到了 @ 喜马拉雅 FM 这个 App。另外，根据自测，我本人购买的 @ 名片全能王 和 @ 扫描全能王 同时中招。 今天自查的 app 出现此后门的有 滴滴出行 高德地图 喜马拉雅 FM 名片全能王 扫描全能王 下厨房 51 卡保险箱 同花顺 中信银行动卡空间 中国联通手机营业厅 简书 豌豆荚-开眼 网易公开课 网易云音乐 滴滴出行 12306

Drops 读者 flz

有可能哦，曾经出现过在桌面没有什么操作也好几次莫名的弹出要求输入 icloud 密码的框框的现象，不知道和这个有没有关系。另外，我看了路由器上 privoxy 的日志，那个域名最早是 9.1 出现的。

Drops 读者 jijiji

想不通为啥这帮写代码的放着正版的，一键下载安装的，自动升级的 xcode 不用，非要跑去网盘上下 xcode。而且网易这么大的公司对开发工具和环境没有管理么，没有流程么？感觉好山寨啊

为照顾用户体验，部分技术分析已做精简。欲了解更多细节以及开发者防范方案，可点击原文查看。

本文来自读者投稿，不代表 36氪 立场