En trojan har identifierats i Apples utvecklingsverktyg och kompilator XCode som bl.a. används för att skapa iPhone-appar. Att modifiera en kompilator på detta sätt så den lägger in extra kod i de program som skapas är i sig ingen nyhet och beskrevs redan 1984 av Ken Thompson i ”Reflections on Trusting trust”.

Denna skadliga kod går under namnet XcodeGhost och har identifierats i mer än 3400 olika appar (räknat även med de som finnes i jailbreakade appar). Ett sätt att identifiera om någon iOS-enhet varit eller är infekterad är att titta på nätverkstrafiken till och från init.icloud-analysis.com. Det hostnamnet har tidigare svarat på följande IP-adresser:

En av funktionerna som den skadliga koden har är att skicka information om telefonen till ovan hostnamn. Den informationen som skickas innehåller bl.a. land, telefonens namn, språk, OS version, enhetstyp, utvecklarinfo, appnamn.

Verifiera Xcode

För att verifiera din version av Xcode kör följande kommando från terminalen:

spctl --assess --verbose /Applications/Xcode.app

Om du har en OK version så får du ett meddelande som ser ut på följande sätt:

/Applications/Xcode.app: accepted
source=Mac App Store

Eller så är source=Apple eller source=Apple System. Övriga meddelanden indikerar på att din version av XCode innehåller trojanen.

Hur kunde detta inträffa?

Det beror på flera orsaker, främst på grund av att XCode laddats ner från tredjepartssajter. Och de flesta som drabbats ser ut att vara appar från kinesiska utvecklare, och där är bandbredden genom The Great Firewall of China inte alltid den bästa. Samt så är även piratkopiering mer utbrett i Kina.

Givetvis så bör även Apple bli bättre på att fånga upp denna typ av attack och troligtvis kommer nu Apple att genomföra kontroller som kan fånga upp detta.