9月18日，蘋果iOS被曝出安全漏洞，黑客利用經過篡改的開發工具Xcode向300余款千萬量級的熱門APP注入了木馬病毒，致使上億用戶的手機配置信息被第三方提取，并隨時存在用戶隱私信息泄漏、Apple ID賬密泄漏、網銀及第三方支付賬戶被盜等風險。然而，在蘋果的安全神話被徹底粉碎之后4天，知名游戲引擎Unity及Cocos-2d也被曝出以同樣的手法遭到篡改，瑞星安全研究院對該事件進行了重點關注和研究，并發現《憤怒的小鳥2》、《叫叫超級醫生》等知名手游都已遭到XcodeGhost攻擊。瑞星安全研究院院長劉思宇指出，本次攻擊事件的發生絕非偶然，這是一次蓄謀已久的針對APP開發者的"水坑攻擊"，其危害之大、范圍之廣，史無前例，也很大程度上挑戰了iOS以及蘋果APP生態鏈的安全性。

XcodeGhost的投毒原理

XcodeGhost是篡改了Xcode編譯環境的LD配置文件(Xcode.app/Contents/PlugIns /Xcode3Core.ideplugin/Contents/SharedSupport/Developer/Library/Xcode /Plug-ins/CoreBuildTasks.xcplugin/Contents/Resources/Ld.xcspec)的 DefaultValue字段。該字段定義了執行ld時的默認參數，XcodeGhost在此值的末尾追加了-force_load $(PLATFORM_DEVELOPER_SDK_DIR)/Library/Frameworks/CoreServices.framework /CoreServices，使Xcode在進行ld時，強制link了包含惡意代碼的CoreServices。在APP啟動時，CoreFoundations.m中的UIWindow::didFinishLaunchingWithOptions函數得到執行，惡意代碼被激活。

類似XcodeGhost的攻擊手段，是一種面向編譯器的攻擊，該類攻擊并非其第一次被使用。2009年就出現過一個被稱為“Delphi夢魘” (Win32.Indcu.a)的病毒，它向人們展示了面向編譯器攻擊的威力。與XcodeGhost不同的是，它具有自我傳播的能力，卻沒有疑似“間諜 /后門”軟件的功能，應該說，Win32.Indcu.a更像是純粹的實驗性的“游戲”， 而XcodeGhost更像是為了“未來某個時刻的收割”而進行的一次有預謀的惡意代碼散播。

情況到底有多嚴重？

根據之前網上爆出的名單來看，受感染的應用已經數百個。瑞星安全研究人員在XY蘋果助手的市場下載了17款應用，列表如下：

　　圖：瑞星隨機抽檢的17款應用列表

其中，有三款帶有XcodeGhost，也就是說遭到惡意攻擊的APP達到17.65%，情況非常不容樂觀。按照這樣的比例進行估算，感染量不但大大超過目前所有媒體報道的數量，也將超出人們的想象。

　　圖：瑞星殺毒軟件V16+查殺XcodeGhost

劉思宇指出，本次以XcodeGhost為導火索的海量APP木馬病毒注入事件主要由兩個原因引起，第一，海外網站連接不穩定，不能滿足廣大開發者的下載需求;第二，免費能為開發者節省成本，因此更多的開發者會選擇非正規渠道的破解版開發工具和引擎。

結論及安全建議

“這是一次針對中國APP開發者的水坑攻擊，其規模之大史無前例，此外，到底有多少APP開發的工具和引擎遭到惡意篡改目前尚無定論，可以肯定的是中招的絕不止Xcode、Unity和Cocos-2dx。此外，面向編譯器的攻擊是一種跨平臺的攻擊手段，Android系統雖然暫時沒有發現該類攻擊，并不代表未來不可能出現”。劉思宇表示，目前瑞星安全研究院正在對Android系統下的APP進行大規模掃描檢測，并將第一時間通過官方網站、微博、微信等渠道公布結果。

目前，瑞星大數據平臺(地址：http://data.rising.com.cn/index.aspx)和瑞星殺毒軟件V16+(免費下載：http://pc.rising.com.cn/V16plus/)均能對染毒的APP進行檢測。建議所有用戶盡快在電腦中對APP進行備份，并將備份的程序上傳至瑞星大數據平臺檢測，或使用瑞星殺毒軟件V16+進行掃描。

此外，針對上述情況，劉思宇建議廣大APP開發者，第一時間檢查自己的APP是否遭到XcodeGhost的攻擊，同時，無論是否被攻擊都應禁用并卸載所有在第三方下載的開發工具及引擎。如APP已遭木馬病毒注入，應立刻進行修復，并通過所有渠道發布最新版本，及時提醒用戶進行更新。

同時，建議廣大普通用戶，應即刻對手機中的所有APP進行檢測，立刻對可更新的APP進行修復，如檢測有問題的APP無新版本可更新，應暫時卸載APP，并修改相應的賬號密碼。

*部分文字參考:

ClaudXiao:http://researchcenter.paloaltonetworks.com/2015/09/more-details-on-the-xcodeghost-malware-and-affected-ios-apps/

https://github.com/XcodeGhostSource/XcodeGhost