PCDVD數位科技討論區 - 瀏覽單個文章 - iOS開發工具Xcode遭惡意代碼插入網易雲音樂等APP被感染

引用:

作者牆外樓

…據悉，通過在非官方渠道下載的Xcode編譯出來的App被注入了第三方的代碼，會向一個網站上傳用戶數據，數據包括一些iPhone和App的基本資訊，例如時間，bundle id(包名)，應用名稱，系統版本，語言，國家等。

病毒作者隨後會把這些資訊上傳到init.icloud-analysis.com，該網站並不是apple的官方網站，而是病毒作者所申請的仿冒網站。

目前該網站的服務器已經關閉。用whois查詢服務器資訊也沒有為挖掘出更多資訊。分析人士指出，這說明病毒作者是個老手，並且非常小心，在代碼和服務器上都沒有留下什麼痕跡，所以不排除以後還會繼續作案的可能。…

　目前被發現遭感染的 Apps 至少有以下：

　[+] 網易公開課
　[+] 12306移動端
　[+] 中信銀行動卡空間
　[+] 下廚房
　[+] 中國聯通手機營業廳
　[+] 高德地圖
　[+] 簡書
　[+] 豌豆莢開眼
　[+] 滴滴出行
　[+] 51卡保險箱
　[+] 同花順

　這裡面高德地圖與豌豆莢開眼在大陸台商間安裝率很高，鑑於 XCodeGhost 本身具有「後門」的功能，各位 iOS 用戶還是暫時先解安裝方為上策。

--
　參閱：牆外樓《一場深具中國特色的iOS開發工具Xcode遭惡意代碼插入事件：GFW干擾CDN所以蘋果官網下載Xcode太慢，導致國內開發者使用百度雲和迅雷等中國特色工具下載非官方版本，外加沒有校驗hash的習慣，最終被下毒》

　參閱：cnBeta《iOS開發工具Xcode遭惡意代碼插入網易雲音樂等APP被感染》