关于 XcodeGhost ， 如何进行保护APP安全性

　　这几天科技圈已经被iOS 的XcodeGhost 病毒事件刷屏。目前已经有多款应用被证实感染了XcodeGhost 病毒。为此国内专业的移动应用安全企业爱加密研究团队推出了XcodeGhost 病毒解决方案，包含原理、方法、咨询、建议的全面解决方案。

　　事件缘由：有技术人员介绍，一款APP的发布，首先是要编写源代码，在编写完成后，则需要将代码编译成“可执行的文件”进行打包发布。苹果iOS APP的开发需要通过苹果自家出的Xcode，把源代码编译为可执行的APP，开发者才能把APP上传到苹果应用商店后台，经过苹果官方审核后，APP在应用商店App Store上架，正式开放下载。

　　但由于Xcode 体积较大，有几个GB，国内开发者如果直接从苹果下载的话速度非常缓慢。XcodeGhost木马的开发者利用了这一点，将加了后门木马的Xcode工具上传到国内网盘上，然后在各种iOS开发论坛发帖进行扩散传播。

　　由于木马作者提供的Xcode版本齐全，国内网盘下载速度相比苹果官网也更加快速，各大公司的程序员在想要下载Xcode时只要轻轻搜索一下就上钩了。然而，这个“加了料”的Xcode会在程序员编译APP的时候偷偷自动地把XcodeGhost的恶意代码也一并编译进去了，但程序员们对此毫不知情。

　　按道理，每款APP被放置到苹果的官方应用商店供用户下载前，是需要通过苹果平台的检测的。但遗憾的是苹果也没有检验出应用里含有木马病毒。

　　事件影响：在网络上流传了各种受影响的APP列表及相关信息，比如“发现AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染，其中不乏大公司的知名应用，也有不少金融类应用，还有诸多民生类应用。根据保守估计，受这次事件影响的用户数超过一亿”。

　　爱加密安全专家表示目前已经检测到至少300个以上不同版本的应用感染了XcodeGhost 病毒，并且目前还在检测更多的应用，爱加密团队还会不断地更新检测的结果，并将有感染XcodeGhost 病毒的应用上传到安全数据库中，到爱加密的官网漏洞检测平台上实行一键检测，就可以知道一款APP有无病毒和漏洞，以及相应的病毒和漏洞种类。

　　据悉，全球iOS 安全机构已经对此事表示了关注。根据相关安全部门的报告资料显示，此次XcodeGhost 波及的范围之广令人震惊，甚至将对移动安全的未来产生影响，事件还在进一步发酵之中。

解决方案

　　针对此次XcodeGhost事件以及预防未来可能出现的安全威胁，爱加密提出以下解决方案：

　　一、一键“清场”：

　　1．开发工具安全检测

　　爱加密提供工具，对MAC上的开发工具，主要是Xcode进行检测：

　　1）安装新的Xcode之前对dmg文件进行md5验证，确保跟官方App Store上的一致。

　　2）对于已经安装部署好的Xcode开发环境，对关键文件夹进行对比检测，列出与官方发布版本不一致的文件，如/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/目录下是否存在Library，编译器clang是否已经改变等。

　　2．ipa包检测

　　爱加密提供工具，对上线前ipa进行安全分析，主要包括：

　　1）针对已经出现的病毒，进行特征码扫描分析。比如此次的XcodeGhost病毒，就可以通过分析ipa可执行文件是否包含”icloud-analysis.com”这个字符串来检测。

　　2）针对未知的潜在病毒，爱加密安全专家将会对ipa进行人工渗透分析，及时发现异常行为。

　　二、专业安全开发咨询：

　　爱加密团队深耕移动应用安全领域多年，对于iOS 开发合规有整套的规范和原则；另外，对于银行金融类APP，爱加密团队里有拥有银行APP安全咨询十几年经验的安全专家给出咨询意见；

　　三、额外建议：

　　1．从官方下载开发工具以及第三方framework，对第三方framework进行人工分析，确保未被感染。爱加密安全专家对此次事情进行了深入分析，一致认为：如果使用被感染的第三方库，将很容易导致类似XcodeGhost这样的事件。

　　2．对第三方插件进行人工分析。很多开发者喜欢使用第三立插件方便开发，但如果使用的是一个受感染的插件，也容易导致类似安全事件。

　　3．防逆向，防二次打包。爱加密提供代码混淆编译器，可对字符串进行加密，对代码逻辑进行混淆，并提供反调试、越狱检测、防二次打包等技术，进一步加强app安全。

　　爱加密安全团队呼吁：

　　普通用户：随时关注安全通报情况，一旦确定感染病毒版本的APP，请尽快删除；随时关注官方APP的升级情况，一旦官方发布新版本，请尽快升级；

　　开发者：请从官方下载Xcode乃至更多的开发工具，并建议进行MD5和SHA1双校验。后续要提高相关安全意识及参加相关安全开发的培训；遵守职业道德，用正规开发工具，遵循正规开发流程和方法；

　　开发组织：请尽快进行内部代码安全性审核，同时可以考虑与专业的移动应用安全厂商进行合作，进行安全性评估，以及APP安全加密和监测；

　　行业组织or主管机构：呼吁对APP安全性提出要求以及形成安全规范标准；

　　苹果公司：及时检测和防范风险，加强安全性审核机制，不要对iOS系统安全性存在盲目的自信，并考虑与国内的移动应用安全组织和机构进行积极协作，促进安全生态环境建设。

　　对于此次的XcodeGhost 病毒事件，爱加密的安全专家分析，如果这些应用一开始就使用了爱加密的安全编译器，或者在应用上传到市场之前，使用过爱加密的安全检测和应用加密，则可有效避免中招。

　　另悉，爱加密是国内最早推出ios应用加密安全服务的企业。此次的XcodeGhost 病毒事件影响范围非常大，让一向以为苹果系统安全无忧的企业和用户们人心惶惶。苹果的安全神话再次被打破。

　　所以，安全无小事，不能掉以轻心。安全防护要做到未雨绸缪，防患于未然。

　　更多爱加密详情，可点击：http://www.ijiami.cn了解更多解决方案。