9月17日上午(09:24),微博用户@JoeyBlue_爆料称,部分开发者下载非官方渠道编译的Xcode,并注入第一个第三方的代码,将将数据上传到网站。目前已知有两个知名应用被注入。五云知识库作者蒸饭对注入的病毒样本“XcodeGhost”进行了分析,证实了上述说法。病毒分析后会收集应用和系统的基本信息,包括时间、bundleid(包名)、应用名称、系统版本、语言、国家等,并上传到init.icloud-analysis.com(域名为病毒作者申请资料收集)。用于收集信息的函数在示例文件中找到。18日上午,硅谷安全公司PaloAlto追踪事件发现,国内知名应用网易云音乐被黑。目前AppStore上架的最新版网易云音乐v2.8.3已感染该病毒,会上传手机隐私信息到病毒作者的服务器(PaloAlto也发现收集数据的域名比较多)。吴云建议,通过非官方渠道下载Xcode的iOS开发者,应立即进行自查,对受影响的版本进行处理。我们将继续关注事件的进展。附检测方法:恶意Xcode包含如下文件“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”;normalXcodeSDKdirectory没有Library目录(来自@JoeyBlue_)其次,你还应该检查Target->BuildSetting->SearchPaths->FrameworkSearchPaths的设置,看看里面有没有混入可疑框架(来自steamed米)
