據ThreatPost報道,網絡安全團隊 FireEye 發現,最近一次升級後,新版的XcodeGhost已經開始支持開發iOS9 app的Xcode 7,並且采用了新的技術使自己更難被檢測出來。
新版iOS只允許HTTPS加密連接,但蘋果也允許了開發者在某些例外情況下使用非加密連接。新版的XCodeGhost正是利用了這種例外情況,連接到XCodeGhost的C&C(命令控制服務器)傳輸用戶洩露的數據。
為了避免被基於靜態檢測的安全工具所發現,XcodeGhost還通過一種新穎的技術來掩蓋其C&C服務器。其代碼中不再使用硬編碼地址,而是轉而采用了按字符來組裝的URL。
FireEye稱,iOS 9版的XCodeGhost同時也引入了新的混淆機制,使它更難被發現。
FireEye已經將發現報告給蘋果,並且發現一款名為“自由邦”的旅行app感染了新版的XcodeGhost病毒。目前這款app已經被中國區和美國區App Store下架。
此外,FireEye還指出,感染了XcodeGhost病毒的app已經不再限於中國區的App Store,在全球都有分發。
今年9月中旬,有消息爆出國內多個廠商的大牌應用使用了第三方途徑下載的Xcode開發工具(非Apple正規途徑),用了這個“李鬼開發工具”編譯出來的App被注入了第三方的代碼,會向一個網站(http://init.icloud-analysis.com)上傳用戶數據,這個網站是病毒作者用來收集用戶數據的,而這個潛在了極大危害的病毒名就叫XcodeGhost。
一開始,關注此事的iOS開發者並沒有太重視,但在仔細查看研究之後,發現這個病毒的危害被低估了。
比如,在中毒的應用中進行一次IAP(In-App Purchase,智能移動終端應用程序付費的模式)內購,此時輸入的密碼或者Touch ID後,就有加密數據發往目標服務器,現在不清楚加密信息是什麼。因此,下載了中招應用的用戶的密碼都存在著洩露的危險。
不少廠商都及時更新了自己的app,蘋果也在官網給出了相關的解釋。