После прошлой недели раскрытия нового вредоносного ПО для iOS под названием XcodeGhost, которое возникло из-за вредоносных версий Xcode, размещенных на сторонних серверах, Apple изложила инструкции для разработчиков, чтобы гарантировать подлинность используемой ими версии Xcode.
При загрузке Xcode из Mac App Store или с веб-сайта Apple, пока включен Gatekeeper, OS X автоматически проверяет цифровую подпись приложения и подтверждает ее по базе данных Apple. Если вы вынуждены получать Xcode из другого источника, следуйте этим шагам:
Чтобы проверить подлинность вашей копии Xcode, выполните следующую команду в Терминале на системе с включенным Gatekeeper:
spctl —assess —verbose /Applications/Xcode.appгде /Applications/ — это каталог, в котором установлен Xcode. Этот инструмент выполняет те же проверки, которые Gatekeeper использует для подтверждения подлинности цифровых подписей приложений. Оценка Xcode может занять несколько минут.
Для версии Xcode, загруженной из Mac App Store, инструмент должен вернуть следующий результат:
/Applications/Xcode.app: accepted
source=Mac App Storeа для версии, загруженной с веб-сайта Apple Developer, результат должен быть либо
/Applications/Xcode.app: accepted
source=Appleили
/Applications/Xcode.app: accepted
source=Apple SystemЛюбой результат, отличный от «accepted», или любой источник, отличный от «Mac App Store», «Apple System» или «Apple», указывает на недействительность подписи приложения для Xcode. Вам следует загрузить чистую копию Xcode и перекомпилировать ваши приложения перед их отправкой на проверку.
Apple выпустила заявление в ответ на XcodeGhost в выходные, отметив, что удалила из App Store все известные ей зараженные приложения и работает с разработчиками, чтобы гарантировать, что они используют легитимную версию Xcode.
«Мы удалили из App Store приложения, которые, как нам известно, были созданы с помощью этого контрафактного программного обеспечения. Мы работаем с разработчиками, чтобы убедиться, что они используют правильную версию Xcode для пересборки своих приложений».
XcodeGhost затронул десятки, а возможно, и сотни приложений из App Store. Пользователям iPhone, iPad и iPod touch следует прочитать что нужно знать о XcodeGhost, чтобы узнать больше о вредоносном ПО и о том, как обезопасить себя.
