XcodeGhost 事件会造成什么影响?

非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,详情查看此链接: XCode编译器里有鬼 你们的产品受到影响了吗? 后续该如何应对? 19日早上4:40,XcodeGhost事件的始作俑者以 @XcodeGhost-Author 的身份在新浪微博贴出致歉声明,称其只是一个实验性项目,并没有任何包含威胁性的行为。并公开了源码。
关注者
7197
被浏览
744342

177 个回答

写了一篇短文,就不全文转发了:
XcodeGhost 实际用途猜测分析

附送一篇科普:
爷爷奶奶都能看懂的 iOS 恶意代码事件科普
这应当是App Store 2008年上线以来遭受的规模最大的攻击,涉及应用之广已经完全超过想象,若非发现及时,此病毒再增加更丰富的机能(如对密码输入框进行hook等)之后,可能成为中国历史甚至世界历史上涉案金额最高的黑客事件之一。

细思恐极的是,Android Studio、Android SDK在国内因为众所周知的原因难以官方下载,如果黑产团体放出针对它们的编译器病毒,然后在国内提供篡改过的镜像下载,那就可能有非常大的危险了。

我们自然清楚这之间的危险性,我们会搭梯子,会校验数字签名和HASH,但是也许有一些开发流行应用的开发者并不清楚。

有些答主反复说 Gatekeeper,但是那玩意其实是一个防君子不防小人的东西,它并不能完全监视 TCP 协议栈和文件系统,如果下载器不通过某个 API 告诉系统它写入的这个文件是从网上下载的,或者它没有在Info.plist里声明它写入的文件必须作判断,Gatekeeper 就不起作用。另外,Gatekeeper 实现在 LaunchServices 层,而不是在 launchd 层,对于非图形界面的命令行程序,也是无法判断的


Key:


LSFileQuarantineEnabled


Value type:


Boolean


Notes:


When the value of this key is true, all files created
by the application process will be quarantined by OS X. Three
quarantine properties can be assigned automatically: the timestamp
(current time), and the application name and bundle identifier (kLSQuarantineTimeStampKey, kLSQuarantineAgentNameKey, kLSQuarantineAgentBundleIdentifierKey).
OS X does not have sufficient information to assign several important
quarantine properties, such as the source URL; use the API to set
additional properties. Automatic quarantine is useful when an
application does not have complete control over the files it creates,
for example, if it hosts externally-developed plugins.


另外,关于为什么大公司用盗版,还有一种可能,他们的编译服务器是外部采购的黑苹果,找的专门做黑苹果软硬件维护的公司维护系统软件,而病毒作者不仅做了病毒本体,还有感染现有机器xcode的手段(比如隐藏在黑苹果系统升级的部署脚本之类里,不是所有黑苹果都能官方更新系统的)