¿Cómo determinar qué hace una aplicación y si contiene malware?

Respuesta corta: no puedes saber

Una respuesta un poco más larga: el simple hecho de ejecutar y utilizar la aplicación no le mostrará lo que podría estar sucediendo detrás de escena. Para profundizar en eso, deberá ejecutar la aplicación en un entorno de depuración para analizar los datos y procesar los flujos, realizar un seguimiento de los subprocesos creados, monitorear cualquier comunicación de red iniciada por la aplicación, etc. muchas habilidades y experiencia, generalmente se reduce a la confianza al final.

Realmente no se puede determinar qué hace una aplicación sin intentar averiguar qué hace su código de bytes. Desde una perspectiva de red, puede ver todo el tráfico que entra y sale de su máquina con algo como LittleSnitch.

No estoy seguro de revisar otras aplicaciones en busca de malware, pero Apple ha enviado un correo electrónico con información sobre cómo verificar si su versión de Xcode contiene malware. Recomiendan que siempre lo descargues de la Mac App Store o del sitio web de su desarrollador. Si debe instalarlo desde otro lugar (unidad USB), siga estos pasos.

  

Para verificar la identidad de su copia de Xcode, ejecute el siguiente comando   en la Terminal en un sistema con Gatekeeper habilitado:

     

spctl --assess --verbose /Applications/Xcode.app

     

donde / Aplicaciones / es el directorio donde está instalado Xcode. Esta   La herramienta realiza las mismas comprobaciones que utiliza Gatekeeper para validar el   Código de firmas de aplicaciones. La herramienta puede llevar hasta varios   minutos para completar la evaluación de Xcode.

     

La herramienta debe devolver el siguiente resultado para una versión de Xcode   descargado del Mac App Store:

     

/Applications/Xcode.app: accepted source=Mac App Store

     

y para una versión descargada del sitio web de desarrolladores de Apple, la   el resultado debe leer cualquiera de las dos

     

/Applications/Xcode.app: accepted source=Apple

     

o

     

/Applications/Xcode.app: accepted source=Apple System

     

Cualquier resultado que no sea 'aceptado' o cualquier otra fuente que no sea 'Aplicación Mac   Tienda ',' Sistema Apple 'o' Apple 'indica que la aplicación   La firma no es válida para Xcode. Usted debe descargar una copia limpia de   Xcode y recompile sus aplicaciones antes de enviarlas para su revisión.

• enlace

En iOS

El problema con Xcode Ghost es la comunicación con otro servidor. Por lo tanto, sería posible reconocer esta conexión si configura un proxy como el que se solicita en haga esta pregunta aquí y use Wireshark para ver las conexiones. Para la conexión HTTP, también debe funcionar Charles . También puede ver en Xcode en el Administrador de dispositivos el registro de consola, que es muy similar al terminal de salida de la aplicación Mac. Pero los desarrolladores pueden ocultar información, no tienen que imprimir todos los procedimientos en el terminal / consola.

En OS X

Hay otras formas de detectar el tráfico TCP / IP, manualmente a través de WireShare o usar algunas aplicaciones como ( LitteSnitch , HandsOff , PrivateEye ). HandsOff es la única aplicación que también realiza un seguimiento de lectura / escritura de archivos y muchas otras cosas.

Conclusión

Debes confiar en los Desarrolladores y también esperar que utilicen el Xcode original de Apple. No tenemos suficientes herramientas (automatizadas) para realizar un seguimiento de cada función de una aplicación.