كما تعلم الآن ، تم إصابة العديد من التطبيقات بالبرنامج الضار XcodeGhost لأن المطورين الموجودين في الصين يستخدمون إصدارًا ضارًا من Xcode ، أداة Apple الرسمية لتطوير تطبيقات iOS و OS X. مع تأثر أكثر من 500 مليون مستخدم ، يعد XcodeGhost أكبر خرق أمني يصيب نظام التشغيل iOS.
أرسلت Apple الآن رسائل بريد إلكتروني إلى المطورين لتوضيح كيف ينبغي عليهم التحقق من صحة إصدار Xcode الخاص بهم لمنع حدوث مثل هذه الحوادث في المستقبل.
لقد قمنا مؤخرًا بإزالة التطبيقات من App Store التي تم إنشاؤها باستخدام إصدار مزيف من Xcode والتي كان من المحتمل أن تسبب ضررًا للعملاء. يجب عليك دائمًا تنزيل Xcode مباشرةً من Mac App Store ، أو من موقع Apple Developer ، وترك Gatekeeper مُمكَّنًا على جميع أنظمتك للحماية من البرامج التي يتم العبث بها.
يتحقق Gatekeeper تلقائيًا من توقيع الرمز لـ Xcode ويتحقق من أنه رمز موقع من قِبل Apple. ومع ذلك ، إذا قام المطورون بتنزيل Xcode من مصدر آخر ، فعليهم اتباع هذه الخطوات للتحقق من سلامة إصدار Xcode الخاص بهم:
للتحقق من هوية نسختك من Xcode ، قم بتشغيل الأمر التالي في Terminal على نظام مع تمكين Gatekeeper:
spctl -essess -verbose /Applications/Xcode.app
حيث / Applications / هو الدليل حيث تم تثبيت Xcode. تقوم هذه الأداة بنفس عمليات التحقق التي يستخدمها برنامج Gatekeeper للتحقق من صحة توقيعات الرموز للتطبيقات. يمكن أن تستغرق الأداة ما يصل إلى عدة دقائق لإكمال تقييم Xcode.
يجب أن تُرجع الأداة النتيجة التالية للحصول على إصدار من Xcode تم تنزيله من Mac App Store:
/Applications/Xcode.app: مقبول
source = Mac App Store
وللإصدار الذي تم تنزيله من موقع Apple Developer ، يجب قراءة النتيجة أيضًا
/Applications/Xcode.app: مقبول
مصدر = أبل
أو
/Applications/Xcode.app: مقبول
المصدر = نظام أبل
تشير أي نتيجة غير "مقبولة" أو أي مصدر آخر غير "Mac App Store" أو "Apple System" أو "Apple" إلى أن توقيع التطبيق غير صالح لـ Xcode. يجب عليك تنزيل نسخة نظيفة من Xcode وإعادة ترجمة تطبيقاتك قبل إرسالها للمراجعة.
كان من المدهش أن تطبيقات iOS المصابة بالبرمجيات قد تجاوزت عملية مراجعة التطبيقات الصارمة من Apple. لذلك يبقى أن نرى ما هي الخطوات التي ستتخذها أبل للتحقق من أن التطبيقات التي يتم إرسالها إلى متجر التطبيقات لا تحتوي على البرامج الضارة.
يمكنك استخدام أداة Pangu team لمعرفة ما إذا كانت التطبيقات المثبتة على جهاز iOS مصابة ببرامج ضارة XcodeGhost.
[عبر Apple]