改変版の「Xcode」である「XcodeGhost」の使用により、マルウェアが埋め込まれたiOSアプリがApp Storeで公開されてしまうという問題が世間を騒がせています。
Xcode
カテゴリ: 開発ツール
価格: 無料
Apple公式開発ツール
この件に関しAppleは、開発者に正統な「Xcode」を使用するよう、メールおよびWebサイトで告知を行い、被害の拡大を防ぐために乗り出しました(iDownloadBlog)。
目次
Xcodeの検証方法
サイトではMac App StoreおよびAppleの開発者向けサイトから直接ダウンロードしたXcodeだけを使うことの重要性を指摘すると共に、コマンドラインからXcodeを検証する方法を解説しています。
その方法はターミナルを開き以下のコマンドを実行するというもの。
spctl --assess --verbose /Applications/Xcode.app
Mac App StoreからダウンロードしたXcodeの場合以下の結果が表示されます。
/Applications/Xcode.app: accepted source=Mac App Store
Apple DeveloperサイトからダウンロードしたXcodeの場合は以下の結果が表示されます。
/Applications/Xcode.app: accepted source=Apple
または
/Applications/Xcode.app: accepted source=Apple System
実際に検証してみました。
Gatekeeperが無効化されていない限り、Xcodeのコード署名は自動でチェックされるそうですが、開発者の方は念のため確認しておいたほうが良いかもしれません。XcodeGhostが実際に使われた中国の開発者向けには、よりディープな情報を知ることが出来る「XcodeGhost Q&A」も公開されています。