W bezpiecznym ogrodzie firmy Apple wykryto robaka. Około 40 aplikacji dla systemu iOS zostało usunięte ze sklepu App Store, ponieważ były zainfekowane szkodliwym kodem, który został stworzony do zbudowania botnetu na urządzeniach Apple.
Szkodliwy program XcodeGhost zainfekował dziesiątki aplikacji, między innymi WeChat (ponad 600 milionów użytkowników), aplikację do pobierania muzyki NetEase, skaner kart firmowych CamCard oraz aplikację firmy Didi Kuaidi służącą do zamawiania samochodów, działającą na podobnych zasadach co Uber. Na domiar złego zainfekowana okazała się także chińska wersja gry Angry Birds 2 (czy nic już nie jest święte?!).
Apple rzetelnie przykłada się do monitorowania każdej aplikacji w sklepie Apple Store, co odróżnia jego sklep od Google Play oraz innych sklepów, które były dosłownie siedliskiem szkodliwego oprogramowania (przynajmniej dopóki Google nie uruchomił własnego systemu skanującego malware w 2014 roku).
Mimo to wrzesień 2015 wydaje się być niespecjalnie szczęśliwy dla Apple, gdyż eksperci wykryli szkodliwe oprogramowanie, które atakowało urządzenia po jailbreaku, wiele osób mówiło o „największej jak do tej pory kradzieży kont Apple„, natomiast firma Palo Alto Networks znalazła zainfekowane oprogramowanie w sklepie App Store.
Co to jest Xcode i co to dokładnie jest XcodeGhost?
Xcode jest darmowym zestawem narzędzi używanym przez programistów do tworzenia aplikacji dla systemu iOS i Apple Store. Jest on dystrybuowany oficjalnie – przez Apple, oraz nieoficjalnie – przez różne firmy trzecie.
XcodeGhost to szkodliwy program stworzony w celu infekowania Xcode, a tym samym aplikacji, które zostały stworzone przy pomocy zainfekowanych narzędzi. Zainfekowane aplikacje kradną prywatne dane użytkowników i wysyłają je do hakerów.
W sklepie App Store zainfekowanych było rzekomo 40 aplikacji
W jaki sposób zagrożenie infekowano aplikacje?
Zhakowany został nie oficjalny zestaw Xcode firmy Apple, lecz nieoficjalna wersja tego narzędzia umieszczona w chińskiej chmurze Baidu (tamtejszy odpowiednik Google’a). Pobieranie narzędzi ze stron trzecich jest popularną praktyką w Chinach, która tym razem okazała się złym nawykiem.
Powodem, dla którego chińscy twórcy aplikacji wybrali nieoficjalne i niebezpieczne strony zamiast bezpiecznych oficjalnych zasobów, jest fakt, że internet w tym kraju jest raczej powolny. Co więcej, chiński rząd ogranicza dostęp do zagranicznych serwisów do trzech bramek. A ponieważ pakiet instalacyjny narzędzi Xcode ma rozmiar około 3,59 GB, pobieranie go z serwerów Apple’a mogłoby zająć nieco czasu.
Zatem autorzy stojący za XcodeGhost musieli jedynie zainfekować nieoficjalny zestaw narzędzi sprytnym i potajemnym szkodliwym programem. Badacze z Palo Alto Networks stwierdzili, że szkodliwy pakiet Xcode był dostępny przez sześć miesięcy oraz został użyty podczas tworzenia nowych i aktualizowania istniejących aplikacji dla systemu iOS. Następnie były one umieszczane w sklepie App Store i w jakiś sposób omijały system skanujący szkodliwe oprogramowanie Apple’a.
Co dalej?
Niedawno Apple potwierdził Reutersowi, że wszystkie znane szkodliwe aplikacje zostały usunięte z App Store oraz że firma współpracuje z programistami w celu upewnienia się, że używają dobrej wersji zestawu Xcode.
Niestety, sytuacja na tym się nie zakończy. Wciąż nie wiadomo, ile aplikacji zostało zainfekowanych. Reuters przyomina, że chińska firma zajmującej się bezpieczeństwem Qihoo360 Technology odkryła 344 aplikacji, które były zarażone XcodeGhost.
Incydenty mogą oznaczać początek nowej epoki w cyberprzestępczości, w której twórcy aplikacji będą tak samo narażeni na zagrożenia, jak nieoficjalne sklepy czy zwykli użytkownicy. Ponadto taktykę stosowaną przez twórców XcodeGhost mogą powielać inni przestępcy, tym bardziej że – jak zauważył Instytut SANS – autorzy XcodeGhost opublikowali kod źródłowy szkodliwego programu w serwisie GitHub i jest on tam dostępny za darmo.
Wcześniej w tym roku narzędzia Xcode były już wspominane przez media na Jamboree, tajnej corocznej konferencji bezpieczeństwa sponsorowanej przez CIA.
Podczas zebrania niektórzy badacze bezpieczeństwa zauważyli, że została stworzona zmodyfikowana wersja Xcode Apple’a, która mogła przemycić szpiegowskie backdoory do dowolnej aplikacji utworzonej przy pomocy tego narzędzia.