工具| XcodeGhost 5分钟快速自查

距离XcodeGhost致使的严重安全问题被发现还不到一个星期，据观察，中招的App无论官方承没认可被感染，大部分都已最快速度更新了版本，可是，问题真的完结了吗？

整个XcodeGhost事件，互联网圈一直争论不休，从最先的“到底谁中招”慢慢演变成“中招后到底有什么影响”，关于直接的安全问题不少大牛意见纷纷，有的极大低估此次事件威胁，固然也有尽力描述事情严重性的，例如腾讯与公众号“歪理邪说”的霍炬。在腾讯的分析里面，说到OpenUrl能够弹出一个带有固定电话号码的弹窗，上面有“拨打”和“取消”，这看似没有公害的漏洞其实暗藏危机，而“歪理邪说”的霍炬的更是从“墙”、信任和欺骗的角度描写这次事件，看完之后我只想用他的一句话表达个人心情：“千万不要低估安全问题能形成的后果，尤为是在中国特殊的网络环境下”。

事实上，形势确实依然严峻，就在今日凌晨3点，第一个发布XcodeGhost事件的“乌云网”再次发布了相关文章，文章标题就叫“你觉得服务器关了这事就结束了？”。凌晨3点，再次发声，其中的深意与担心不言于表，借用做者的原话来描述就是：“虽然XcodeGhost做者的服务器关闭了，可是受感染的app的行为还在，这些app依然孜孜不倦的向服务器（好比init.icloud-analysis.com，init.icloud-diagnostics.com等）发送着请求。这时候黑客只要使用DNS劫持或者污染技术，声称本身的服务器就是“init.icloud-analysis.com”，就能够成功的控制这些受感染的app。”

根据乌云的介绍，在受感染的客户端App代码中，有个Response方法用于接收和处理远程服务器指令。Response方法中根据服务器下发的不一样数据，解析成不一样的命令执行，大体支持4种远程命令，经过命令的单独或组合使用能够产生多种攻击方式，大体可分为四种恶意行为：

• 定向在客户端弹（诈骗）消息：该样本先判断服务端下发的数据，若是同时在在“alertHeader”、“alertBody”、“appID”、“cancelTitle”、“confirmTitle”、“scheme”字段，则调用UIAlertView在客户端弹框显示消息窗口。

• 下载企业证书签名的App：当服务端下发的数据同时包含“configUrl”、“scheme”字段时，客户端调用Show()方法，Show()方法中调用UIApplication.openURL()方法访问configUrl。

• 推送钓鱼页面：经过在服务端配置configUrl，达到推送钓鱼页面的目的，客户端启动受感染的App后，钓鱼页面被显示。

• 推广AppStore中的应用：经过在服务端配置configUrl，达到推广AppStore中的某些应用的目的，客户端启动受感染的App后，自动启动AppStore，并显示目标App的下载页面。

这里只作简单的描述，如需了解实际的原理请搜索乌云网最新文章。当事情进行到这个程度，听云也为咱们的用户捏了一把汗，在咱们对用户的排查中发现，除去已经曝光的那一批APP之外，仍然有很多中小APP受到XcodeGhost的侵袭（不断向init.icloud-analysis.com或init.icloud-diagnostics.com两个域名发送请求），由于用户信息隐私缘由这里不作公布，可是咱们可以清晰的看到，早在XcodeGhost问题曝光以前，听云就已经监测到它的存在，而且，幽灵并无消失。

这位客官问了，到了这个程度咱们应该作什么？我想说，咱们能作的不少，就从“听云App劫持分析”开始吧。听云App的劫持分析功可以帮助用户了解应用被运营商劫持的状况，用户白名单以外的域名会被列为劫持对象，简单几步，就能找出不属于本身的域名，即使是XcodeGhost这样的深藏于自身服务中的问题也能轻易发现，还没添加的同窗赶忙来吧。

第1步：点此注册成为听云用户，进入后台根据步骤为你的APP嵌码。

第2步：点击听云App后台你建立的应用右上角齿轮“修改设置”进入设置页面。

第3步：在最下方找到“域名劫持设置”选项并打钩开启劫持分析功能，并把已知安全域名加入白名单（可多选）。注意，未知的域名请不要添加，好比下图中本次事件的主角。

第4步：稍后咱们就能在后台应用分析的“劫持分析”选项看见相应数据，白名单以外的域名会被列为劫持对象在这里显示。若是这里列表中有确认安全的自身服务，可在域名后方点击加入白名单，相信通过一段时间排查后，App的劫持状况就能了然于胸了。

事情并无结束，最新消息百度安全实验室称已经确认“Unity-4.X的感染样本”，而且逻辑行为和XcodeGhost一致，只是上线域名变成了init.icloud-diagnostics.com。防患于未然，从自身作起，这个事情或许能给咱们一些启示：强如苹果Sandbox模式也不是固若金汤，能相信的人只有本身。听云建议你们，作好预防，从今天开始，从简单添加白名单开始，从坚持不断的复查开始，那样，即使再出现下一个XcodeGhost，也能尽早的把它们消灭掉。