Come determinare cosa fa un'app e se contiene malware?

Risposta breve: non puoi sapere

Risposta un po 'più lunga: la semplice esecuzione e l'uso dell'applicazione non ti mostreranno cosa potrebbe succedere dietro le quinte. Per approfondire, è necessario eseguire l'applicazione in un ambiente di debug per analizzare i dati e i flussi di processo, tenere traccia di tutti i sottoprocessi creati, monitorare qualsiasi comunicazione di rete avviata dall'applicazione ecc. Ecc. Poiché questo è piuttosto ingombrante e richiede un sacco di abilità ed esperienza, di solito si finisce per fidarsi alla fine.

Non si può davvero determinare cosa un'app non cerchi di capire quale sia il suo codice byte. Dal punto di vista della rete, puoi visualizzare tutto il traffico dentro e fuori dal tuo computer con qualcosa come LittleSnitch.

Non sono sicuro di controllare le altre app per malware ma Apple ha inviato un'email con informazioni su come verificare se la tua versione di Xcode contiene malware. Si consiglia di scaricarlo sempre dal Mac App Store o dal loro sito Web per gli sviluppatori. Se devi installarlo da qualche altra parte (unità USB) segui questi passaggi.

To verify the identity of your copy of Xcode run the following command in Terminal on a system with Gatekeeper enabled:

spctl --assess --verbose /Applications/Xcode.app

where /Applications/ is the directory where Xcode is installed. This tool performs the same checks that Gatekeeper uses to validate the code signatures of applications. The tool can take up to several minutes to complete the assessment for Xcode.

The tool should return the following result for a version of Xcode downloaded from the Mac App Store:

/Applications/Xcode.app: accepted source=Mac App Store

and for a version downloaded from the Apple Developer web site, the result should read either

/Applications/Xcode.app: accepted source=Apple

or

/Applications/Xcode.app: accepted source=Apple System

Any result other than ‘accepted’ or any source other than ‘Mac App Store’, ‘Apple System’ or ‘Apple’ indicates that the application signature is not valid for Xcode. You should download a clean copy of Xcode and recompile your apps before submitting them for review.

• link

Su iOS

Il problema con Xcode Ghost è la comunicazione con un altro server. Quindi sarebbe possibile riconoscere questa connessione se si imposta un proxy come richiesto in questa domanda qui e usa Wireshark per vedere le connessioni. Anche per HTTP-Connection Charles dovrebbe funzionare. Puoi anche vedere in Xcode in Device Manager il Console-Log, che è lo stesso del Terminal-output dell'App Mac. Ma gli sviluppatori possono nascondere le informazioni, non devono stampare tutte le procedure nel terminale / console.

Su OS X

Esistono altri modi per rilevare il traffico TCP / IP, manualmente tramite WireShare o utilizzare alcune app come ( LitteSnitch , HandsOff , PrivateEye ). HandsOff è l'unica app che tiene traccia anche dei file di lettura / scrittura e molte altre cose.

Conclusione

Devi fidarti degli sviluppatori e anche sperare che usino l'Xcode originale di Apple. Non abbiamo abbastanza strumenti (automatici) per tenere traccia di ogni funzione di un'app.