9月13日,CNCERT接到CNCERT广东分中心和腾讯公司报告,称使用非苹果公司官方渠道的XCODE工具开发苹果应用程序(苹果APP)时,会向正常的APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。
根据CNCERT监测结果显示,国内诸多知名公司由于使用非官方XCODE发布APP,导致官方APP被植入恶意代码,造成严重的安全风险。根据抽样监测结果显示,全国感染该恶意程序的用户有2140万。现将有关情况通报如下:
通过对比苹果公司官方发布的XCODE开发工具,发现非官方XCODE开发工具中具有名为CoreServices.framework的恶意代码文件,通过该非官方XCODE开发的APP会被植入恶意代码i.privacy.xcodeghost.a。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能,具体情况如下:
1、 收集用户手机上的APP bundle ID(bundleIdentifier)、APP名称(CFBundleName)、当前系统时间(Timestamp)、系统版本(OSVersion)、设备类型(DeviceType)、设备语言(Language)、国家码(CountryCode)、运营商(identifierForVendor)、设备唯一标识码(UUIDString)等信息,以JSON格式向远程服务器(URL为http://init.icloud-analysis.com/)进行回传,具有信息窃取行为;
2、 具备接收并执行远程服务器指令的功能,如访问指定的URL、拨打电话、发送短信、打开指定APP_ID的应用等,可被用于对苹果手机进行恶意远程控制。
根据CNCERT对该恶意代码的抽样监测结果显示,全国感染该恶意代码的用户达2140万。在全国31个省中,感染用户最多的省份,其感染量占全国8%。
CNCERT在确认本次事件后,第一时间启动应急响应措施:
1、向政府部门报告本次事件情况,并在行业内发布预警通报,提醒广大开发者或互联网企业使用苹果官方XCODE工具;
2、通知存在问题的互联网公司及时进行自查,并督促更新APP以消除恶意代码带来的影响;
3、将被植入恶意代码的APP名单通报中国互联网协会,协调中国互联网协会通知相关APP开发者及时更新APP以消除恶意代码带来的影响;
4、通知苹果公司及时对本次事件作出说明,并尽快采取应对措施消除恶意代码带来的影响。
