XCodeGhost事件真相完全大还原

4）远程控制模块协议存在漏洞，可被中间人攻击

在进行样本分析的同时，我们还发现这个恶意模块的网络协议加密存问题，可以被轻易暴力破解。我们尝试了中间人攻击，验证确实可以代替服务器下发伪协议指令到手机，成为这些肉鸡的新主人。

图5存在安全漏洞的协议解密代码片段

值得一提的是，通过追查我们发现植入的远程控制模块并不只一个版本。而现已公开的分析中，都未指出模块具备远程控制能力和自定义弹窗能力，而远程控制模块本身还存在漏洞可被中间人攻击，组合利用的威力可想而知。这个事件的危害其实被大大的低估了。

【感染途径】

分析过程中我们发现，异常流量APP都是大公司的知名产品，也是都是从AppStore下载并具有官方的数字签名，因此并不存在APP被恶意篡改的可能。随后我们把精力集中到开发人员和相关编译环境中。果然，接下来很快从开发人员的xcode中找到了答案。

我们发现开发人员使用的xcode路径Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下，存在一个名为CoreServices.framework的“系统组件”，而从苹果官方下载的xcode安装包，却不存在这些目录和“系统组件”。

图6被感染恶意代码的xcode包路径

原来开发人员的xcode安装包中，被别有用心的人植入了远程控制模块，通过修改xcode编译参数，将这个恶意模块自动的部署到任何通过xcode编译的苹果APP（iOS/Mac）中。

水落石出了，罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。

通过百度搜索“xcode”出来的页面，除了指向苹果AppStore的那几个链接，其余的都是通过各种id（除了coderfun，还有使用了很多id，如lmznet、jrl568等）在各种开发社区、人气社区、下载站发帖，最终全链到了不同id的百度云盘上。为了验证，团队小伙伴们下载了近20个各版本的xcode安装包，发现居然无一例外的都被植入了恶意的CoreServices.framework，可见投放这些帖子的黑客对SEO也有相当的了解。

• 苹果XcodeGhost事件：我们的安全在哪里？
• 苹果CMO菲尔·席勒解读Xcode事件：关键问题在这
• 苹果iOS躺枪：网络安全没有一家可独善其身
• 科普：10个习惯助力手机安全
• iOS应用感染XCode病毒，苹果不承担责任