Xcode Ghost,是一种手机病毒,主要通过非官方下载的 Xcode 传播,能够在开发过程中通过 CoreService 库文件进行感染,使编译出的 App 被注入第三方的代码,向指定网站上传用户数据。也就是说,开发者下载的非官方途径的Xcode带有XcodeGhost 病毒。XcodeGhost 病毒目前会上传产品自身的部分基本信息(安装时间,应用ID,应用名称,系统版本,语言,国家)等,不会涉及到个人信息。另外,感染制作者的服务器已关闭,已经不构成实质上的信息泄露。
我们发现开发人员使用的xcode路径Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下,存在一个名为CoreServices.framework的“系统组件”,而从苹果官方下载的xcode安装包,却不存在这些目录和“系统组件”。
原来开发人员的xcode安装包中,被别有用心的人植入了远程控制模块,通过修改xcode编译参数,将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac)中。
水落石出了,罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。
参考资料(戳这里):