【XcodeGhost】Apple、開発者に対し「Xcode」を検証する方法を説明

NewImage

改変版の「Xcode」である「XcodeGhost」の使用により、マルウェアが埋め込まれたiOSアプリがApp Storeで公開されてしまうという問題が世間を騒がせています。

Xcode App
カテゴリ: 開発ツール
価格: 無料
Apple公式開発ツール

この件に関しAppleは、開発者に正統な「Xcode」を使用するよう、メールおよびWebサイトで告知を行い、被害の拡大を防ぐために乗り出しました(iDownloadBlog)。

Xcodeの検証方法

サイトではMac App StoreおよびAppleの開発者向けサイトから直接ダウンロードしたXcodeだけを使うことの重要性を指摘すると共に、コマンドラインからXcodeを検証する方法を解説しています。

その方法はターミナルを開き以下のコマンドを実行するというもの。

spctl --assess --verbose /Applications/Xcode.app

Mac App StoreからダウンロードしたXcodeの場合以下の結果が表示されます。

/Applications/Xcode.app: accepted
source=Mac App Store

Apple DeveloperサイトからダウンロードしたXcodeの場合は以下の結果が表示されます。

/Applications/Xcode.app: accepted
source=Apple

または


/Applications/Xcode.app: accepted
source=Apple System

実際に検証してみました。

S 2015 09 23 10 46 12

Gatekeeperが無効化されていない限り、Xcodeのコード署名は自動でチェックされるそうですが、開発者の方は念のため確認しておいたほうが良いかもしれません。XcodeGhostが実際に使われた中国の開発者向けには、よりディープな情報を知ることが出来る「XcodeGhost Q&A」も公開されています。

スポンサーリンク