Как мы можем узнать в iOS и OS X, что на самом деле делает приложение?
В OS X вы всегда можете сделать следующее: щелкните правой кнопкой мыши на .app и "показать пакет". Contents -> MacOS
и дважды щелкните исполняемый файл Unix. Терминал открывается и каким-то образом сообщает вам, что делает приложение.
Я не знаю, слышали ли вы, но кажется, что кто-то модифицировал компилятор Xcode, чтобы добавить вредоносное ПО в приложения. Этот модифицированный компилятор, как говорят СМИ, широко распространен в Китае, поэтому многие приложения затронуты. Также, как сообщают СМИ, компания обнаружила около 400 приложений, которые кажутся зараженными.
Теперь мой вопрос: как узнать, что делает приложение на iOS? Как определить, содержит ли он вредоносное ПО или что-то еще вредоносное.
И есть ли другой способ узнать, что приложения делают в OS X, кроме запуска исполняемого файла Unix, расположенного в пакете приложения?
Краткий ответ: вы не можете знать
Немного более длинный ответ: простой запуск и использование приложения не покажет вам, что может происходить за кулисами. Чтобы вникнуть в это, вам нужно запустить приложение в среде отладки, чтобы проанализировать данные и потоки процессов, отслеживать любые созданные подпроцессы, контролировать любое сетевое взаимодействие, инициированное приложением и т. д. и т. д. Поскольку это довольно громоздко и требует много навыков и опыта, обычно все сводится к доверию в конце.
Вы не можете на самом деле определить, что делает приложение, не пытаясь выяснить, что делает его байт-код. С точки зрения сети вы можете просматривать весь входящий и исходящий трафик вашей машины с помощью чего-то вроде LittleSnitch.
Я не уверен в проверке других приложений на наличие вредоносных программ, но Apple разослала электронное письмо с информацией о том, как проверить, содержит ли ваша версия Xcode вредоносное ПО. Они рекомендуют всегда загружать его из Mac App Store или с веб-сайта разработчика. Если вы должны установить его откуда-то еще (с USB-накопителя), выполните следующие действия.
Чтобы проверить подлинность вашей копии Xcode, выполните следующую команду в терминале в системе с включенным гейткипером:
spctl --assess --verbose /Applications/Xcode.app
где /Applications/ — это каталог, в котором установлен Xcode. Этот инструмент выполняет те же проверки, что и Gatekeeper для проверки подписей кода приложений. Инструмент может занять до нескольких минут, чтобы завершить оценку для Xcode.
Инструмент должен вернуть следующий результат для версии Xcode, загруженной из Mac App Store:
/Applications/Xcode.app: accepted source=Mac App Store
а для версии, загруженной с веб-сайта Apple Developer, результат должен выглядеть так:
/Applications/Xcode.app: accepted source=Apple
или
/Applications/Xcode.app: accepted source=Apple System
Любой результат, отличный от «принято», или любой другой источник, кроме «Mac App Store», «Apple System» или «Apple», указывает на то, что подпись приложения недействительна для Xcode. Вы должны загрузить чистую копию Xcode и перекомпилировать свои приложения, прежде чем отправлять их на проверку.
Проблема с Xcode Ghost заключается в связи с другим сервером. Таким образом, можно было бы распознать это соединение, если вы настроите прокси-сервер, как указано в этом вопросе здесь, и используете Wireshark для просмотра соединений. Для HTTP-соединения также должен работать Чарльз . Вы также можете увидеть в Xcode в диспетчере устройств журнал консоли, который очень похож на вывод терминала приложения Mac. Но разработчики могут скрывать информацию, им не нужно печатать каждую процедуру в терминале/консоли.
Есть еще несколько способов обнаружения трафика TCP/IP, вручную через WireShare или с помощью некоторых приложений, таких как ( LitteSnitch , HandsOff , PrivateEye ). HandsOff — единственное приложение, которое также отслеживает чтение/запись файлов и многое другое.
Вы должны доверять разработчикам, а также надеяться, что они используют оригинальный Xcode от Apple. У нас недостаточно (автоматизированных) инструментов для отслеживания каждой функции приложения.
Соломенная Хара
Стив Мозер
пользователь148013
ген хомяка