XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf

Eine neue Version von XcodeGhost, mit der mit Malware infizierte Anwendungen für iOS, OS X und watchOS erstellt werden können, soll Entwickler abermals austricksen, warnen Sicherheitsforscher von Symantec.

In der Vergangenheit sind bereits einige Entwickler auf die von Hackern manipulierte Version von Apples offizieller Entwicklungsumgebung Xcode hereingefallen. Einige bösartige Apps tauchten sogar in Apples App Store auf, da Apples Sicherheitsüberprüfungen in den Fällen nicht angesprungen sind.

Die neue Version von XcodeGhost soll auf Xcode 7 basieren, mit der sich unter anderem Apps für iOS 9 entwickeln lässt. Ob schon iOS-9-Apps mit Schadcode im Umlauf sind, ist aktuell nicht bekannt.

Xcode-Version überprüfen

Entwickler sollten Xcode ausschließlich über die Apple-Webseite oder den Mac-App-Store beziehen. In diesen Fällen checkt der Sicherheitsmechanismus Gatekeeper von OS X die Signatur von Xcode und stellt sicher, dass die Entwicklungsumgebung von Apple signiert ist.

Wer Xcode aus einer anderen Quelle bezogen hat, kann die Echtheit über folgende Befehle (alle in einer Zeile, Applications steht für den jeweiligen Installationspfad) im Terminal von OS X prüfen: spctl --assess --verbose /Applications/Xcode.app

Quittiert das Terminal die Eingabe mit dem Ergebnis /Applications/Xcode.app: accepted source=Mac App Store, stammt Xcode aus einer verifizierten Quelle.

Erscheint an dieser Stelle ein False-Wert oder steht bei der Quelle etwas anderes als "Apple", "Apple System" oder "Mac App Store", sollten Entwickler eine offizielle Version der Entwicklungsumgebung herunterladen und ihre Apps neu kompilieren, empfiehlt Apple.

Die Sicherheitsfirma Palo Alto Networks erläutert in einem Interview mit den Kollegen von Mac & i die Funktionsweise der gefährlichen Entwicklungsumgebung XcodeGhost. (des)