XcodeGhost – poważny atak malware’owy na iOS

Kilka dni temu wykryto pierwszy prawdziwie poważny atak na iOS-a – dokonali tego chińscy developerzy iOS i opublikowali swoje wyniki na Weibo. Do ataku wykorzystano własne IDE Apple’a – Xcode.

(…)zmodyfikowali instalator Xcode’a tak, że podczas procesu kompilacji, wstrzykiwany był malware do programu.

Xcode waży kilka gigabajtów i pobiera się go bezpośrednio ze strony Apple. Niestety internet w Chinach nie zbliża się do naszego jeśli chodzi o prędkość jego działania, więc chińscy developerzy preferuję pobierać Xcode’a z nieautoryzowanych lokalnych serwerów zamiast czekać godzinami na download z Cupertino. To pozwoliło hackerom na wykorzystanie sytuacji – de facto lenistwa czy też wygody człowieka – i zmodyfikowali instalator Xcode’a tak, że podczas procesu kompilacji, wstrzykiwany był malware do programu.

Malware, którym były zainfekowane aplikacje, polegał na pobieraniu danych na temat urządzeń, na których działał, i na wysyłaniu tych danych na serwery hackerów. Z dostępnych informacji wynika, że malware nie pobierał i nie wysyłał żadnych krytycznych informacji na temat użytkowników sprzętu. Wiadomo, że zbierane były następujące dane:

• obecny czas z zegara systemowego
• nazwa zainfekowanej aplikacji
• ID bundle’a aplikacji
• nazwa iUrządzenia i jego typ
• ustawiony język i kraj
• UUID
• rodzaj sieci

Rovio już poinformowało, że tylko chińska wersja Angry Birds 2 (…) była zainfekowana.

Prawdopodobieństwo, że ktokolwiek w Polsce korzystał z zainfekowanych programów jest niewielkie – głównie dotyczy to programów dostępnych przede wszystkim w Chinach. Rovio już poinformowało, że tylko chińska wersja Angry Birds 2, niedostępna poza tym krajem, była zainfekowana. Listę programów z malwarem znajdziecie tutaj.

Apple wydało oświadczenie, w którym poinformowało, że wszystkie zainfekowane aplikacje zostały usunięte z App Store. Poinformowało również, że będzie kontaktowało się bezpośrednio z wszystkimi użytkownikami, którzy te aplikacje pobrali¹.

Co ciekawe, atak na Xcode prawdopodobnie udał się tylko z dwóch powodów:

1. Developerzy pobierali Xcode’a z innego niż Apple’a serwera, gdzie instalator był zmodyfikowany.
2. Mieli wyłączonego Gatekeepera, który uchroniłby ich przed zainstalowaniem nieautoryzowanego oprogramowania.

To właśnie z takich powodów przestrzegam Was przed pobieraniem iOS-a czy OS X z innych źródeł niż bezpośrednio od Apple – wiem, że często to robicie, szczególnie w przypadku bety OS X i iOS. W dzisiejszych czasach tak łatwo zmodyfikować software lub system operacyjnych, że robienie czegoś takiego jest nieodpowiedzialne.

Cieszy mnie szybka reakcja Apple – to rzadko się zdarza niestety, a przynajmniej my o nich często nie wiemy dopóki nie rozwiążą problemu i nie poinformują o tym kilka dni później. Nie zmienia to faktu, że to nie powinno mieć miejsca. Liczę, że szybko wyciągną z tego nauczkę…

Pamiętacie czasy, kiedy nic w internecie nie było szyfrowane, każdy sobie ufał, a hasła były przesyłane tylko w plain text? Trochę mi ich brakuje…