http://tech.ifeng.com/a/20150918/41477236_0.shtml
2015年09月18日 18:03
来源：凤凰科技



凤凰科技讯 9月18日消息，近日有网友在微博反映：一个朋友告诉我他们通过在非官方渠道下载的Xcode编译出来的app被注入了第三方的代码，会向一个网站上传数据，目前已知两个知名的App被注入。

随后很多留言的小伙伴们纷纷表示中招，@谁敢乱说话表示：“还是不能相信迅雷，我是把官网上的下载URL复制到迅雷里下载的，还是中招了。我说一下：有问题的Xcode6.4.dmg的sha1是：a836d8fa0fce198e061b7b38b826178b44c053a8，官方正确的是：672e3dcb7727fc6db071e5a8528b70aa03900bb0，大家一定要校验。”另外还有一位小伙伴表示他是在百度网盘上下载的，也中招了。

根据palo alto networks公司爆料，被感染的知名App Store应用为”网易云音乐”！该app应用在AppStore上的最新版本2.8.3已经确认被感染。并且该应用的Xcode编译版本为6.4（6E35b），也就是XcodeGhost病毒所感染的那个版本。同时中信银行信用卡的应用”动卡空间”中也发现了被插入的XcodeGhost恶意代码，受感染的版本为3.4.4。

另外热心网友图拉鼎测试得出还有十款软件中毒，包括1、中国联通的手机营业厅；2、高德地图；3、简书；4、豌豆荚的开眼；5、网易公开课；6、下厨房；7、51卡保险箱；8、同花顺；9、滴滴出行；10、12306。

据网友提示，投毒者网名为”coderfun”。他在各种iOS开发者论坛或者weibo后留言引诱iOS开发者下载有毒版本的Xcode。并且中毒的版本不止Xcode 6.4，还有6.1，6.2和6.3等等。

乌云网安全预警报告称，不可信下载源Xcode包含恶意代码预警(已有企业APP发布受到影响)。

9月17日上午，微博用户@JoeyBlue_ 曝光称，有开发者用了非官方渠道下载的Xcode编译出来的应用被注入了第三方的代码，会向一个网站上传数据。目前已知两个知名应用被注入。

乌云知识库作者蒸米对注入的病毒样本“XcodeGhost“进行分析，确认了上述说法。经分析，该病毒会收集应用和系统的基本信息，包括时间、bundle id(包名)、应用名称、系统版本、语言、国家等，并上传到init.icloud-analysis.com(该域名为病毒作者申请，用于收集数据信息)。

而后四叶新媒体联合创始人，微博用户Saic表示：“拿文件看了一下，这个木马劫持了所有系统的弹窗（例如 IAP 支付），然后向目标服务器发送了加密数据，目前还不知怎么解密发出去的请求。”

所以像网易云音乐这种有内购功能的应用还是存在潜在的泄露账号和密码的风险，所以使用过以上应用的用户，还是建议大家更改一下自己的iCloud和App Store密码，以免造成自己财产损失和隐私泄露。

[课程]Linux pwn 探索篇！