当前位置:安全客 >> 资讯详情

检测Xcode中的Strawhorse后门

2015-03-12 16:43:58 阅读:0次 收藏 来源: 安全客

t01d1a4e8fe480d93ae.png

在前一篇文章中,我提到了一批斯诺登新暴出的文件,其中披露一项CIA计划。这是由美国桑迪亚(Sandia)国家实验室开发的一款流氓版Xcode。这个版本的Xcode会在苹果开发者的电脑中植入后门,窃取他们的个人开发密钥(private codesign key)。

详情请看我们之前的报道:【斯诺登:美中央情报局试图破解iPhone已近10年】

t013c77a7709a180552.png

那么如何检测这个后门呢?我们可以通过检测被这个后门所篡改的安全机制是否能正确的运行来验证。根据斯诺登披露的文件,该后门篡改了securityd守护进程,使得在导出开发者密钥的时候并不向用户发出警告。
   “。。。后门重写了securityd,使在导出开发者密钥的时候并不向用户弹出警告”

所以最好的测试方法就是试着导出你的开发者密钥,看看securityd会不会发出警告,以获取你的同意。

根据这篇文章,你会知道如何导出个人密钥:
    1、    在Xcode Preference窗口中,单击Accounts
    2、    点击做下角的Action按钮(在minus按钮的右边)
    3、    在弹出窗口中选择Export Accounts

此时,securityd应该弹出一个窗口,询问你是否允许导出你的密钥。

t01cc8d5ffab695d826.png

如果你没有看到弹出窗口,那你很可能就中招了,后门会在你不知情的情况下导出你的密钥。

因为我们并没有拿到这款据称由CIA篡改的Xcode,所以我们并不能肯定该方法一定有效。但根据曝出的幻灯片中的信息,起码在特定情况下,这种检测是有效的


本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:http://www.zdziarski.com/blog/?p=5040

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论