工具| XcodeGhost 5分鐘快速自查

距離XcodeGhost致使的嚴重安全問題被發現還不到一個星期，據觀察，中招的App無論官方承沒認可被感染，大部分都已最快速度更新了版本，可是，問題真的完結了嗎？

整個XcodeGhost事件，互聯網圈一直爭論不休，從最先的「到底誰中招」慢慢演變成「中招後到底有什麼影響」，關於直接的安全問題不少大牛意見紛紛，有的極大低估此次事件威脅，固然也有盡力描述事情嚴重性的，例如騰訊與公衆號「歪理邪說」的霍炬。在騰訊的分析裏面，說到OpenUrl能夠彈出一個帶有固定電話號碼的彈窗，上面有「撥打」和「取消」，這看似沒有公害的漏洞其實暗藏危機，而「歪理邪說」的霍炬的更是從「牆」、信任和欺騙的角度描寫這次事件，看完之後我只想用他的一句話表達個人心情：「千萬不要低估安全問題能形成的後果，尤爲是在中國特殊的網絡環境下」。

事實上，形勢確實依然嚴峻，就在今日凌晨3點，第一個發佈XcodeGhost事件的「烏雲網」再次發佈了相關文章，文章標題就叫「你覺得服務器關了這事就結束了？」。凌晨3點，再次發聲，其中的深意與擔心不言於表，借用做者的原話來描述就是：「雖然XcodeGhost做者的服務器關閉了，可是受感染的app的行爲還在，這些app依然孜孜不倦的向服務器（好比init.icloud-analysis.com，init.icloud-diagnostics.com等）發送着請求。這時候黑客只要使用DNS劫持或者污染技術，聲稱本身的服務器就是「init.icloud-analysis.com」，就能夠成功的控制這些受感染的app。」

根據烏雲的介紹，在受感染的客戶端App代碼中，有個Response方法用於接收和處理遠程服務器指令。Response方法中根據服務器下發的不一樣數據，解析成不一樣的命令執行，大體支持4種遠程命令，經過命令的單獨或組合使用能夠產生多種攻擊方式，大體可分爲四種惡意行爲：

• 定向在客戶端彈（詐騙）消息：該樣本先判斷服務端下發的數據，若是同時在在「alertHeader」、「alertBody」、「appID」、「cancelTitle」、「confirmTitle」、「scheme」字段，則調用UIAlertView在客戶端彈框顯示消息窗口。

• 下載企業證書籤名的App：當服務端下發的數據同時包含「configUrl」、「scheme」字段時，客戶端調用Show()方法，Show()方法中調用UIApplication.openURL()方法訪問configUrl。

• 推送釣魚頁面：經過在服務端配置configUrl，達到推送釣魚頁面的目的，客戶端啓動受感染的App後，釣魚頁面被顯示。

• 推廣AppStore中的應用：經過在服務端配置configUrl，達到推廣AppStore中的某些應用的目的，客戶端啓動受感染的App後，自動啓動AppStore，並顯示目標App的下載頁面。

這裏只作簡單的描述，如需瞭解實際的原理請搜索烏雲網最新文章。當事情進行到這個程度，聽雲也爲咱們的用戶捏了一把汗，在咱們對用戶的排查中發現，除去已經曝光的那一批APP之外，仍然有很多中小APP受到XcodeGhost的侵襲（不斷向init.icloud-analysis.com或init.icloud-diagnostics.com兩個域名發送請求），由於用戶信息隱私緣由這裏不作公佈，可是咱們可以清晰的看到，早在XcodeGhost問題曝光以前，聽雲就已經監測到它的存在，而且，幽靈並無消失。

這位客官問了，到了這個程度咱們應該作什麼？我想說，咱們能作的不少，就從「聽雲App劫持分析」開始吧。聽雲App的劫持分析功可以幫助用戶瞭解應用被運營商劫持的狀況，用戶白名單以外的域名會被列爲劫持對象，簡單幾步，就能找出不屬於本身的域名，即使是XcodeGhost這樣的深藏於自身服務中的問題也能輕易發現，還沒添加的同窗趕忙來吧。

第1步：點此註冊成爲聽雲用戶，進入後臺根據步驟爲你的APP嵌碼。

第2步：點擊聽雲App後臺你建立的應用右上角齒輪「修改設置」進入設置頁面。

第3步：在最下方找到「域名劫持設置」選項並打鉤開啓劫持分析功能，並把已知安全域名加入白名單（可多選）。注意，未知的域名請不要添加，好比下圖中本次事件的主角。

第4步：稍後咱們就能在後臺應用分析的「劫持分析」選項看見相應數據，白名單以外的域名會被列爲劫持對象在這裏顯示。若是這裏列表中有確認安全的自身服務，可在域名後方點擊加入白名單，相信通過一段時間排查後，App的劫持狀況就能瞭然於胸了。

事情並無結束，最新消息百度安全實驗室稱已經確認「Unity-4.X的感染樣本」，而且邏輯行爲和XcodeGhost一致，只是上線域名變成了init.icloud-diagnostics.com。防患於未然，從自身作起，這個事情或許能給咱們一些啓示：強如蘋果Sandbox模式也不是固若金湯，能相信的人只有本身。聽雲建議你們，作好預防，從今天開始，從簡單添加白名單開始，從堅持不斷的複查開始，那樣，即使再出現下一個XcodeGhost，也能儘早的把它們消滅掉。