XcodeGhost menggunakan strategi jangkitan yang tidak pernah berlaku sebelum ini terhadap Apple

Penggodam melakukan pencapaian yang tidak pernah berlaku sebelum ini, membuai pembangun tanpa disedari untuk memuatkan beribu-ribu aplikasi iOS dengan perisian iklan, kata pakar keselamatan pada hari Jumaat.

“Ini adalah contoh pertama yang saya boleh ingat,” kata Raymond Wei, pengarah kanan pembangunan mudah alih di FireEye, sebuah firma keselamatan rangkaian Milpitas, Calif., apabila ditanya sama ada sistem aplikasi peringkat teratas pernah dijangkiti melalui pihak pertama. alat pembangunan.

Wei merujuk kepada kempen penggodaman, digelar “XcodeGhost” oleh seorang penyelidik China, yang mengambil pendekatan yang sangat luar biasa untuk memasukkan kod berniat jahat ke dalam apl iOS yang diedarkan melalui App Store Apple. Daripada menyuntik kod serangan ke dalam satu apl, kemudian cuba melepasi penyemak automatik dan manusia Apple, penggodam XcodeGhost sebaliknya menjangkiti Xcode, set alat pembangunan perisian bersepadu Apple untuk mencipta apl dan aplikasi untuk iOS dan OS X.

Xcode tersedia secara percuma daripada Mac App Store syarikat Cupertino, Calif.

Tetapi geng XcodeGhost tidak menjangkiti itu versi suite pembangunan.

Sebaliknya, ia mengubah suai salinan yang sah, menyemai tiruan pada perkhidmatan perkongsian fail China yang popular dan mempromosikan Xcode palsunya sebagai bukan sahaja tawaran sebenar, tetapi tersedia lebih cepat dari dalam China kerana kelebihan kelajuan perkhidmatan berbanding pautan trans-Pasifik ke tapak rasmi Apple.

Pembangun iOS Cina mengambil umpan — cangkuk, tali dan benam. Tetapi dengan menggunakan Xcode yang dijangkiti, mereka secara tidak sedar menjangkiti aplikasi yang mereka cipta dengan barang rampasan.

Apabila ditanya soalan yang sama tentang keunikan XcodeGhost, Domingo Guerra, pengasas bersama dan presiden Appthority, vendor pengurusan risiko mudah alih yang berpangkalan di San Francisco, bersetuju dengan Wei. Walau bagaimanapun, Guerra menunjuk kepada sesuatu yang serupa dengan XcodeGhost. “Setahun setengah yang lalu, kami melihat kelemahan dalam SDK rangkaian iklan [software development kit],” katanya tanpa menyebut nama. Kerentanan itu dieksploitasi untuk menghasilkan iklan yang menjawab rangkaian arahan dan kawalan penggodam.

Apple tidak dapat mengesan bahawa aplikasi itu, sebenarnya, dijangkiti oleh XcodeGhost. “Kod yang cacat telah disuntik oleh pengkompil,” kata Wei. “Tiada garis dasar [hash] untuk Apple membandingkan, jadi ia tidak dapat mengetahui bahawa mereka telah dijangkiti.”

Bilangan apl yang mengalami XcodeGhost telah dipertikaikan. Wei berkata bahawa FireEye telah mengenal pasti lebih daripada 4,000 sebelum Apple mula menarik mereka awal minggu ini. Guerra, sebaliknya, memetik 477 yang sangat khusus yang ditemui oleh Appthority di App Store. Penyelidik dan vendor keselamatan lain membuang semua jenis nombor.

Apple tidak mendedahkan bilangan apl yang terjejas, tetapi telah menyenaraikan 25 teratas apl paling popular yang telah dijangkiti, dan mendakwa bahawa daripada senarai itu, “Bilangan pengguna yang terjejas menurun dengan ketara.”

Antara apl iOS yang paling banyak dijangkiti ialah WeChat, Didi Taxi, Baidu Music, Angry Bird 2 – Yifeng Li’s Favorite dan Flush. Apl ini paling popular di China.

Tetapi pengguna iOS di luar Republik Rakyat juga terjejas, kata Guerra dan Wei. Walaupun sesetengah apl iOS terhad kepada pasaran tertentu, kebanyakannya tidak, dan dengan itu muncul di banyak kedai elektronik Apple di seluruh dunia. Guerra berkata bahawa Appthority menemui bukti apl cacat yang dimuat turun oleh pengguna di seluruh dunia; Wei menambah bahawa pengguna AS adalah antara mereka.

Tindakan apl yang dijangkiti juga dilaporkan dengan pelbagai jenis tuntutan.

Guerra dan Wei berkata bahawa penyiasatan mereka menyimpulkan bahawa apl itu berkelakuan seperti itu perisian iklankategori yang dinamakan untuk memuntahkan iklan yang tidak diingini dan tidak dibenarkan.

“Ia mengumpul semua jenis maklumat peranti dan menghantarnya ke pelayan jauh,” tulis Andreas Weinlein, jurutera penyelidikan dan pembangunan di Appthority, dalam catatan ke blog firmanya minggu ini. “Selain itu, respons kepada permintaan tersebut dapat mencetuskan makluman iOS standard dan dapat membuka URL tertentu atau menunjukkan halaman App Store bagi apl tertentu.”

URL yang disediakan oleh XcodeGhost menyajikan iklan, kata Guerra. “Ia sangat serupa dengan perisian iklan yang agresif,” katanya, dengan berteori bahawa kumpulan XcodeGhost bermotivasi kewangan, dan memikirkan cara untuk mengewangkan sejumlah besar muat turun pembangun lain.

Keadaan boleh menjadi lebih buruk, Guerra dan Wei bersetuju, jika penggodam telah membakar perisian hasad yang lebih serius ke dalam Xcode palsu. “Terdapat khabar angin bahawa ia boleh mencuri kata laluan iCloud, tetapi kod asal [in XcodeGhost] tidak mempunyai kebolehan ini,” kata Wei, yang membuat spekulasi bahawa penjenayah lain mungkin telah menggunakan kod XcodeGhost dengan mengubah suai Xcode palsu itu sendiri untuk meningkatkan fungsi kod serangan.

Apple mula menarik apl yang dijangkiti XcodeGhost awal minggu ini, dan menggesa pemaju untuk mendapatkan semula kit alat pembangunan Xcode daripada pelayan Apple sendiri, bukan di tempat lain. Syarikat itu juga menerbitkan arahan untuk mengesahkan bahawa salinan Xcode adalah sah di tapak web pembangunnya.

Apple juga mengambil langkah luar biasa untuk mendedahkan ancaman itu kepada umum, termasuk siaran berformat Soal Jawab di laman web Chinanya. (Apple tidak meniru siaran itu di tapak webnya untuk pasaran lain, walau bagaimanapun.)

“Kami telah mengalih keluar aplikasi daripada App Store yang kami tahu telah dibuat dengan perisian palsu ini dan menyekat penyerahan aplikasi baharu yang mengandungi perisian hasad ini daripada memasuki App Store,” Apple menyatakan pada siaran itu.

Apple menyalahkan pemaju untuk jangkitan itu, mengatakan bahawa mereka bukan sahaja memuat turun Xcode daripada sumber tidak rasmi — dan secara tersirat, tidak dipercayai — sumber, tetapi terpaksa mematikan Gatekeeper untuk jangkitan itu masuk ke dalam aplikasi mereka.

Gatekeeper ialah ciri dalam OS X — platform pembangunan untuk iOS serta apl Mac — yang secara lalai membenarkan pengguna memasang hanya perisian yang dimuat turun daripada Mac App Store atau yang ditandatangani secara digital oleh pembangun berdaftar, termasuk Apple. Gatekeeper memulakan kerjaya pada Mountain Lion 2012, tetapi sering dilumpuhkan oleh pengguna lanjutan supaya mereka boleh memuat turun perisian pihak ketiga yang tidak diedarkan melalui Mac App Store.

Wei menggemakan Apple ketika dia menghukum pemaju yang mengambil Xcode palsu tanpa memeriksa kesahihannya. “Pemaju mempunyai tanggungjawab untuk mengesahkannya [Xcode] datang daripada Apple dan tidak berubah,” kata Wei. “Mereka sepatutnya berhati-hati, dan mengesahkan nilai cincang muat turun.”

Guerra memberi amaran bahawa strategi licik seperti XcodeGhost hanyalah sebahagian daripada masalah yang lebih besar. “Ini adalah sebahagian daripada trend yang hanya akan meningkat,” katanya. “Memandangkan semakin ramai pengguna melakukan perkara pada mudah alih, penyerang mencari lebih banyak cara untuk menyusup masuk ke dalam mudah alih.”

Leave a Reply

Your email address will not be published. Required fields are marked *