Как вы, наверное, уже знаете, некоторые приложения были заражены вредоносным ПО XcodeGhost, поскольку разработчики из Китая использовали вредоносную версию Xcode, официального инструмента Apple для разработки приложений для iOS и OS X. XcodeGhost - это крупнейшая уязвимость в iOS, в которой пострадало более 500 миллионов пользователей.
Apple теперь разослала разработчикам электронные письма, чтобы объяснить, как они должны проверить свою версию XCode, чтобы предотвратить подобные инциденты в будущем.
Недавно мы удалили из App Store приложения, созданные с использованием поддельной версии XCode, которая потенциально могла причинить вред клиентам. Вы всегда должны загружать Xcode непосредственно из Mac App Store или с веб-сайта Apple Developer и оставлять Gatekeeper включенным во всех своих системах для защиты от несанкционированного доступа к программному обеспечению.
Gatekeeper автоматически проверяет подпись кода для Xcode и проверяет, что это код, подписанный Apple. Однако, если разработчики загрузили Xcode из другого источника, они должны выполнить следующие шаги, чтобы проверить целостность своей версии Xcode:
Чтобы проверить подлинность вашей копии XCode, выполните следующую команду в Терминале в системе с включенным Gatekeeper:
spctl –assess –verbose /Applications/Xcode.app
где / Applications / - это каталог, где установлен Xcode. Этот инструмент выполняет те же проверки, которые использует Gatekeeper для проверки подписей кода приложений. Инструмент может занять до нескольких минут, чтобы завершить оценку для Xcode.
Инструмент должен вернуть следующий результат для версии Xcode, загруженной из Mac App Store:
/Applications/Xcode.app: принято
источник = Mac App Store
а для версии, загруженной с веб-сайта Apple Developer, результат должен быть
/Applications/Xcode.app: принято
Источник = Apple,
или же
/Applications/Xcode.app: принято
источник = Apple System
Любой результат, отличный от «принятого» или любого другого источника, кроме «Mac App Store», «Apple System» или «Apple», означает, что подпись приложения недействительна для XCode. Вы должны загрузить чистую копию Xcode и перекомпилировать свои приложения перед отправкой их на рассмотрение.
Удивительно, что приложения для iOS, зараженные вредоносным ПО, прошли через строгий процесс проверки приложений Apple. Поэтому еще неизвестно, какие шаги предпримет Apple для проверки того, что приложения, представленные в App Store, не содержат вредоносного ПО.
Вы можете использовать инструмент команды Pangu, чтобы узнать, заражены ли приложения, установленные на вашем устройстве iOS, вредоносным ПО XcodeGhost.
[через Apple]