Come determinare cosa fa un'app e se contiene malware?

1

Come possiamo sapere su iOS e OS X cosa fa realmente un'applicazione?

Su OS X puoi sempre fare quanto segue: tasto destro del mouse su un file .app e "mostra pacchetto". Contents -> MacOS e fare doppio clic sul file eseguibile Unix. Il terminale si apre e in qualche modo ti dice cosa fa l'app.

Non so se hai sentito ma sembra che qualcuno abbia modificato il compilatore Xcode per aggiungere malware alle app. Questo compilatore modificato è come dicono i media ampiamente diffusi in Cina, quindi molte app sono interessate. Così come i media dicono che un'azienda ha rilevato circa 400 app che sembrano essere infette.

La mia domanda ora è, in che modo potresti dire cosa fa un'app su iOS? Come determinare se contiene malware o altro dannoso.

E c'è un altro modo per dire quali app fanno su OS X rispetto all'avvio del file Unix esacutabile che si trova nel pacchetto dell'app?

    
posta user148013 22.09.2015 - 16:24
fonte

3 risposte

3

Risposta breve: non puoi sapere

Risposta un po 'più lunga: la semplice esecuzione e l'uso dell'applicazione non ti mostreranno cosa potrebbe succedere dietro le quinte. Per approfondire, è necessario eseguire l'applicazione in un ambiente di debug per analizzare i dati e i flussi di processo, tenere traccia di tutti i sottoprocessi creati, monitorare qualsiasi comunicazione di rete avviata dall'applicazione ecc. Ecc. Poiché questo è piuttosto ingombrante e richiede un sacco di abilità ed esperienza, di solito si finisce per fidarsi alla fine.

    
risposta data 22.09.2015 - 16:37
fonte
1

Non si può davvero determinare cosa un'app non cerchi di capire quale sia il suo codice byte. Dal punto di vista della rete, puoi visualizzare tutto il traffico dentro e fuori dal tuo computer con qualcosa come LittleSnitch.

Non sono sicuro di controllare le altre app per malware ma Apple ha inviato un'email con informazioni su come verificare se la tua versione di Xcode contiene malware. Si consiglia di scaricarlo sempre dal Mac App Store o dal loro sito Web per gli sviluppatori. Se devi installarlo da qualche altra parte (unità USB) segui questi passaggi.

To verify the identity of your copy of Xcode run the following command in Terminal on a system with Gatekeeper enabled:

spctl --assess --verbose /Applications/Xcode.app

where /Applications/ is the directory where Xcode is installed. This tool performs the same checks that Gatekeeper uses to validate the code signatures of applications. The tool can take up to several minutes to complete the assessment for Xcode.

The tool should return the following result for a version of Xcode downloaded from the Mac App Store:

/Applications/Xcode.app: accepted source=Mac App Store

and for a version downloaded from the Apple Developer web site, the result should read either

/Applications/Xcode.app: accepted source=Apple

or

/Applications/Xcode.app: accepted source=Apple System

Any result other than ‘accepted’ or any source other than ‘Mac App Store’, ‘Apple System’ or ‘Apple’ indicates that the application signature is not valid for Xcode. You should download a clean copy of Xcode and recompile your apps before submitting them for review.

risposta data 22.09.2015 - 17:34
fonte
1

Su iOS

Il problema con Xcode Ghost è la comunicazione con un altro server. Quindi sarebbe possibile riconoscere questa connessione se si imposta un proxy come richiesto in questa domanda qui e usa Wireshark per vedere le connessioni. Anche per HTTP-Connection Charles dovrebbe funzionare. Puoi anche vedere in Xcode in Device Manager il Console-Log, che è lo stesso del Terminal-output dell'App Mac. Ma gli sviluppatori possono nascondere le informazioni, non devono stampare tutte le procedure nel terminale / console.

Su OS X

Esistono altri modi per rilevare il traffico TCP / IP, manualmente tramite WireShare o utilizzare alcune app come ( LitteSnitch , HandsOff , PrivateEye ). HandsOff è l'unica app che tiene traccia anche dei file di lettura / scrittura e molte altre cose.

Conclusione

Devi fidarti degli sviluppatori e anche sperare che usino l'Xcode originale di Apple. Non abbiamo abbastanza strumenti (automatici) per tenere traccia di ogni funzione di un'app.

    
risposta data 22.09.2015 - 16:46
fonte

Leggi altre domande sui tag