刚刚爆出的Xcode Ghost，给一向以安全著称的iOS系统来了一记重拳，国内外安全圈引发一阵哗然。
由于国内下载正版Xcode工具的限制，恶意程序发布者便通过百度网盘等途径传播植入了后门的Xcode编译器。
问题的源头是苹果开发者服务平台在国内没有CDN，导致在国内下载正版Xcode编译工具需要很长时间，而攻击者私自发布了一份内含恶意代码的Xcode编译器，并且提供百度网盘的下载链接地址，以更快更便捷的下载方式进行传播，由此受到感染的应用数量迅速增长。
截止目前，苹果强制下架尚未修复应用总数已超过 800 款。
Xcode Ghost 什么鬼
一种手机病毒，主要通过非官方下载的 Xcode 传播，能够在开发过程中通过 CoreService 库文件进行感染，使编译出的 App 被注入第三方的代码，向指定网站上传用户数据。
也就是说，开发者下载的非官方途径的Xcode带有XcodeGhost 病毒。
换种方式说，这玩意就是苹果界的“SARS”，一旦被感染急需紧急处理。

已感染应用如何急救
目前应急措施中，娜迦建议可通过MD5值等方式校验自己之前使用过的编译工具是否是正版（本来就是官方渠道下载的就不用了），发现不是官方版本的话可以用一些工具（盘古团队出的Xcode病毒检测工具，下载地址：http://x.pangu.io/） 来验证编译出来的APP是否存在恶意代码）。

娜迦提示各位开发大大通过官方渠道下载使用正版的编译工具链，如果确认被感染，则需要立即对已发布到Appstore上的应用进行大规模升级，越快越好，远离XcodeGhost带来的阴影。

Unity4.X、Cocos2dx被爆遭到感染
Xcode Ghost 爆菊之后，立即有消息爆出非官方渠道的Unity 4.X以类似方式被篡改，业内称其为 “Unity Ghost”，影响范围极速扩散。
一时间黑产剧情疑云密布，颇有谍影重重的意味。
a1.webp.jpg
@evil_xi4oyu在其微博确认有非官方渠道的Unity 4.X被篡改加入恶意后门
a2.webp.jpg
Sebug官方微博也发布类似信息

“
iOS已阵亡，Android距沦陷还远么？
网友调侃Xcode Ghost 这种级别的东西在安卓里算是绿色进程。

“发几个http请求，就想搞成一个大漏洞，我告诉你们，Android 是身经百战了，代发短信另存密码，哪个没见过，上传通信录的进程，内核跟他谈笑风生。“

a3.webp.jpg

Android有多坚挺
国内开发者获取android ndk的情形类似于Xcode，如果开发者从非官方下载的ndk被预先植入了恶意代码，Xcode Ghost事件就会演变成一场更大规模的“Android Ghost”暴风雨。那么，这种几率有多大？
娜迦实验室对此进行了一个简单的验证。  
以下为整个实验过程。   
1
下载llvm源码 [http://llvm.org/]           
2
下载clang 源码到 llvm/tools 目录        

a4.webp.jpg

3
下载compiler-rt 源码到 llvm/projects 目录           

a5.webp.jpg

4
编写插入恶意代码的 llvm pass      
在llvm的编译过程中，会有一系列pass 对中间代码[IR] 进行转换、优化等工作。同样，我们也可以实现自己的pass，目的是插入一段实现某种功能的代码。
关于如何编写llvm pass，
可以参考 llvm文档：
[http://llvm.org/docs/WritingAnLLVMPass.html]         

5
修改 lib/Transforms/IPO 目录下的 PassManagerBuilder.cpp 文件中的相关函数，应用上述自定义 pass            

a6.webp.jpg

6
修改若干编译相关的文件           

a7.webp.jpg

7
编译 llvm，编译方法参考 llvm 文档  [http://llvm.org/docs/CMake.html]         

a8.webp.jpg

8
将编译生成的 bin 和 lib 目录保留，其他全部删除      

a9.webp.jpg

9
用上面得到的 bin 和 lib 目录替换官方 NDK 中的原始版本      

a10.webp.jpg

只要经过“用心”的构造，ndk同样可以拥有“ghost”本领。当开发者使用这种经过改造的ndk进行开发时，恶意代码很容易扩散到最终发布的app中！

对，Android完败。
是的，默哀三十秒。

再次提醒各位开发大大一定去官方渠道下载正版的编译工具，一定下正版，下正版，正版，版。。。。
如果之前用的是非官方版本工具，不清楚到底有没有被植入恶意代码，也别慌张，上 www.nagain.com  找娜迦， 我们提供专项检测服务来帮助您，并且提供这类问题的风险分析。
万一不幸中招
如确认您的Android版APP内部存在恶意代码，建议使用娜迦智能更新服务来进行APP迭代更新，从源头规避安全隐患。智能云更新技术无弹窗、无提示后台更新的特点，避免了因版本更新造成的用户流失，并彻底解决了由网络不稳定带来的更新失败。同时实现断点续传、Wi-Fi环境下智能下载功能，快速更新的同时优化了用户体验，将此次多米诺骨牌效应降到最低。
www.nagain.com
有黑产，就有对抗
娜迦安全团队在这里，做应用身边的大白
为了应用安全，我们什么都会去做

a12.webp.jpg
微信号：NAGAPT
a13.webp.jpg
长按二维码就能关注

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课