【安全预警】“黑产”再出手，App Store的网易云音乐等被注入恶意代码

摘要：开发者用了非官方渠道下载的Xcode编译出来的应用被注入了第三方的代码。

腾讯科技讯 9月18日，据乌云网和硅谷安全公司Palo Alto发布安全预警称，在App Store上架的网易云音乐等多个应用被注入Xcode第三方恶意代码，会将用户信息发送到病毒作者服务器。

乌云网称，开发者用了非官方渠道下载的Xcode编译工具，导致所开发的应用被注入了第三方代码，会主动向一个网站上传应用和系统的基本信息。网易云音乐最新版v2.8.3已经感染病毒。

Twitter用户@fannheyward 爆料称，受影响的除了网易云音乐外，还包括12306、中信银行动卡空间等应用。@fannheyward 为爱微创想的iOS开发主管。

目前，第三方恶意代码所指向的恶意网站init.icloud-analysis.com已关闭，据了解该域名为病毒作者申请，用于收集数据信息。

猎豹移动安全专家李铁军(微博)告诉腾讯科技，这是对开发工具改造造成的危机。由于该病毒会收集包括时间，bundle id(包名)，应用名称，系统版本，语言，国家等，并上传，所以在某种程度上会泄露隐私。

不过，由于苹果本身权限限制比较严格，这类信息的泄露相对来说，威胁并不严重，而且用户不用过分担心帐号安全。

李铁军表示，目前唯一解决问题的方式是，只能等待开发者重新发新的安装包替换。对用户来说可以选择卸载应用，或者等待升级更新。

对于为什么会对Xcode植入恶意代码，李铁军表示，“黑产”希望通过收集用户信息，以便广告投放，后者存在利益空间。由于苹果限制比较多、审查比较严格，常用模式无法运行，因此只能从开发环节突破。尽管是有限的个人信息，但仍然有商业价值。所谓黑产，就是指靠收集个人信息，出售个人信息牟利的一群人。

【更新】

18日下午15时，网易云音乐通过社交网络发布公告称，目前感染制作者的服务器已关闭，不会产生任何威胁。

公告解释称，受非官方渠道开发工具XcodeGhost“感染”影响，iPhone端部分应用会上传产品自身的部分基本信息。此次感染设计信息皆为产品的系统信息，无法调取和泄露用户的个人信息。

不过，对是否后续通过更换下载包解决问题，网易云音乐并未做出正面回应。网易公关负责人表示，以公告内容为准。

以下为乌云网发布的安全预警报告：

不可信下载源Xcode包含恶意代码预警（已有企业APP发布受到影响）

9月17日上午，微博用户@JoeyBlue_ 曝光称，有开发者用了非官方渠道下载的Xcode编译出来的应用被注入了第三方的代码，会向一个网站上传数据。目前已知两个知名应用被注入。

乌云知识库作者蒸米对注入的病毒样本“XcodeGhost“进行分析，确认了上述说法。经分析，该病毒会收集应用和系统的基本信息，包括时间、bundle id(包名)、应用名称、系统版本、语言、国家等，并上传到init.icloud-analysis.com（该域名为病毒作者申请，用于收集数据信息）。

样本文件中发现用以收集信息的函数

18日上午，硅谷安全公司Palo Alto跟踪事件后发现国内知名应用网易云音乐中招，当前App Store上架的网易云音乐最新版v2.8.3已经感染病毒，会将手机隐私信息上传至病毒作者的服务器上（Palo Alto还发现存在更多收集数据的域名）。

乌云建议，使用非官方渠道下载Xcode的iOS开发者请立刻展开自查，并对受影响版本进行处理。我们也会持续关注事件进展。

附检查方法：

恶意Xcode包含有如下文件“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform

/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”；正常的Xcode的SDK目录下没有Library目录（来自@JoeyBlue_）

其次，还应该检测一下Target->Build Setting->Search Paths->Framework Search Paths的设置，看看是否有可疑的frameworks混杂其中。

原文标题：《App Store遭病毒入侵 网易云音乐、12306等中招》

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/