【科讯】大招：XcodeGhost 5分钟快速自查

本篇文章2038字，读完约5分钟

虽然xcodeghost发现严重的安全问题后不到一周，招募中的app就没有正式承认感染，但大部分还是最早更新了版本，问题真的结束了吗？

关于xcodeghost，网络社团一直在争论。 从最初的谁慢慢发展成中招后，有什么影响？ 关于直接的安全问题有很多大牛的意见。 有些人低估了这次事件的威胁。 当然，我会尽力说明事件的严重性，比如腾讯和公众号邪说霍炬。 在帐篷分解中，openurl可以弹出带有固定电话号码的弹窗。 上面有电话和取消。 这看起来像是没有公害的脆弱性。 其实隐藏着危机。 但是，邪说霍炬从墙壁、信任和欺诈的立场来描述这次的事情，看到后，我想用他的一句话来表达我的心情。 不要低估成千上万的安全问题带来的结果，特别是在中国特殊的网络环境下。

事实上，形势依然严峻。 今天凌晨3点，第一个宣布xcodeghost的乌云网再次发布了相关副本。 拷贝标题是否表明你为服务器关闭了？？ 。 凌晨三点，我再次发出了声音。 它的深刻含义和担忧不表露出来。 借用作者的话，xcodeghost作者的服务器关闭了，但感染的app的行为还在。 这些app依然指向服务器(例如init.icloud-analysis，init.Icloud-)。 这时黑客采用dns劫持和污染技术，如果声称自己的服务器是init.icloud-analysis，就能很好地控制这些感染的app。

据乌云介绍，感染的客户端app代码有接收和解决远程服务器命令的response方法。 response方法根据服务发出的数据分析为不同的命令执行，支持四个远程命令。 命令的个别或组合会产生多种攻击方法，大致分为四种恶意行为。

1 .面向客户端弹出(欺诈)消息:此示例首先评估服务器端发送的数据，在alertheader、alertbody、appid、canceltitle、confirmtitle和scheme字段中

2 .下载公司证书签名的app :来自服务器端的数据，如果包含configurl、scheme字段，客户端调用show ( )方法，show ( )方法为ui application.on

3 .推送钓鱼页面:通过在服务器端配置configurl以推送钓鱼页面为目的，在客户端启动感染的app后，显示钓鱼页面。

4 .宣传appstore中的应用:通过在服务器端配置configurl，达到宣传appstore中的一部分应用的目的，在客户端启动感染的app后，自动启动appstore，

这里只是简单的说明，要知道实际的原理请搜索乌云网的最新副本。 事件到了这个程度，云也为我们的顾客出汗，在对我们顾客的调查中发现，除了已经暴露的app，依然有很多中小app受到xcodeghost的袭击( INIT.I cloud-Anall ) 由于客户新闻的隐私原因，这里不发表，但在xcodeghost的问题曝光之前，可以清楚地看到云正在监视它的存在，幽灵没有消失。

同学会问到了这里我们应该做什么。 我们能做的事情很多。 让我们从拆除云app劫持开始。 云app的劫持分解功能有助于理解客户被运营商劫持了。 除了您的白名单以外，其他域名都是劫持的对象，您可以通过简单的步骤找到不属于自己的域名。 即使是xcodeghost这样深深隐藏在自己服务中的问题也很容易发现。 还没有添加的同学请马上来。

第一步:注册云的客户(地址: account.tingyun/reg/register？ userfrom=tingyun )，进入后台要按照步骤成为你的app块。

步骤2 :单击在云app后台创建的应用程序右上角的齿轮编辑设置进入设置页面。

步骤3 :在底部找到域名劫持设置选项，打开劫持拆除功能，并将已知的安全域名添加到白名单中(可选择多个)。 。 观察，不要添加未知域名。 例如，如下图所示，是这次事情的主角。

第四步:稍后您可以在后台应用分解劫持分解选项来查看相应的数据。 非白名单域名将作为劫持对象显示在此。 如果这里的名单上有确认安全的自我服务，可以在域名后面点击白名单加入，我相信随着时间的推移会知道app的劫持情况。

事件还没有结束。 最新的新闻百度安全实验室确认了unity-4.x的感染样本。 同时，逻辑行为与xcodeghost一致。 但是，在线域名为init.icloud-diagnostics。 防患于未然，从自己开始，这个事件可能会给我们带来提示。 像苹果的sandbox模式一样强也不是固若金汤，能相信的人只有自己。 听云的建议，做好预防，从今天开始，简单地添加白名单，重新考虑几次，这样即使出现下一个xcodeghost，也可以尽快删除它们。

1 .每天的网络遵循领域规范，转载的原稿都确定注释的作者和来源2 .每天网络的原始复印件，转载时一定要注明文案作者和“来源:每天互联网”，不尊重原始行为的每天在网上。 3 .作者的帖子可能每天在网上制作或补充。