Apple впервые сообщила о заражении приложений в App Store вирусами Статьи редакции

Компания Apple удалила вредоносные приложения из App Store после первой официально признанной масштабной атаки на сервис. Об этом сообщает Reuters.

Впервые об атаке стало известно ещё 17 сентября после жалоб пользователей китайского сервиса микроблогов Weibo. За ними последовали исследование компании Alibaba и отчёт об атаке от фирмы по информационной безопасности Palo Alto Networks.

Согласно данным Palo Alto Networks, изначально вирус распространился через модифицированную версию инструмента для разработки приложений для iOS — Xcode. Как объяснили исследователи, в Китае загрузка установочных файлов с сайтов Apple зачастую происходит медленно, поэтому разработчики размещают их на сторонних файлообменниках, а в случае с Xcode речь шла о дистрибутиве в 3 ГБ.

Злоумышленники модифицировали Xcode, добавив в него заражённый файл CoreServices, который содержит системные сервисы, использующиеся практически в любом iOS-приложении. При компиляции программ к ним добавлялся вредоносный код (исследователи назвали его XcodeGhost), позволяя собирать данные о пользователе.

При запуске приложений, созданных при помощи модифицированной версии Xcode, устройство отправляло злоумышленникам пакет данных о пользователе. В него входили название приложения, время, тип и уникальный идентификатор устройства, страна местонахождения и используемый язык интерфейса, а также тип подключения к интернету.

Помимо этого, XcodeGhost отображал поддельные уведомления от приложений (например, чтобы через фишинговые схемы заставить пользователя ввести свои данные), перехватывал процесс открытия сторонних ссылок, а также мог читать содержимое буфера обмена системы. Последнее позволяло злоумышленникам красть пароли пользователей, скопированные из сторонних менеджеров кодов доступа вроде 1Password.

Хотя приложения в App Store проходят процедуру верификации, в данном случае модераторы Apple не заметили попадания вредоносного кода в их систему. По мнению исследователей в Palo Alto Networks, по сравнению с другими вирусами, созданными для iOS, поведение XcodeGhost было не таким уж и подозрительным.

Тем не менее при помощи XcodeGhost удалось заразить более 39 приложений в App Store, включая популярный аналог Uber Didi Chuxing, единственное официальное в Китае приложение для покупки железнодорожных билетов Railway 12306, а также абонентский сервис крупнейшего китайского оператора China Unicom Mobile Office. Не все из них находились в китайской версии App Store: уязвимыми оказались популярный ридер визитных карточек CamCard, находящийся в американском магазине, и мессенджер WeChat, популярный и за пределами Китая.

Вечером в воскресенье 20 сентября представители Apple подтвердили информацию, опубликованную в исследованиях Palo Alto Networks, и сообщили об удалении из App Store приложений, созданных при помощи XcodeGhost. По мнению специалистов по безопасности из Palo Alto Networks, разработчикам следует всегда использовать только официальные дистрибутивы, скачанные напрямую с сайтов Apple.

Мы удалили приложения из App Store, созданные с помощью этого поддельного ПО. Мы сотрудничаем с разработчиками, чтобы убедиться, что они используют корректную версию Xcode для повторной сборки их приложений.

Apple

В Apple не сообщили точное количество приложений, подверженных XcodeGhost, и не уточнили, какие меры могут предпринять пользователи для обнаружения у себя вредоносного кода.

Хотя приложения из официального App Store оказались массово заражены впервые, это не первый случай распространения китайских вирусов через iOS. Например, в конце августа 2015 года в Palo Alto Networks рассказали, что распространённый через магазин приложений Cydia зловредный код мог «угнать» данные около 225 тысяч пользователей. В ноябре 2014 года похожим образом оказались заражены сотни тысяч пользователей, скачавшие приложения из нелегального магазина Maiyadi App Store.

0
20 комментариев
Популярные
По порядку
Написать комментарий...
Нужный корабль

Вадим не смог написать этот текст потому что до сих пор лежит в отключке? От осознания невероятности случившегося с самой...

Ответить
19
Развернуть ветку
Нужный корабль

По сути никто не ломал store, и он тут не причем. Виноваты разработчики которые скачали левый Xcode и удивляются тем что кто-то собирает их данные.

Ответить
7
Развернуть ветку
Нужный корабль

Люди как были, так и будут самым слабым местом в системе.

Хорошо устроенная безопасность как раз и направлена на то, чтобы людям свободу действий и возможность проявить свою глупость снизить настолько, чтобы единственным возможным действием оказывалось верное. Простой пример: заполнение экранных форм. Если ввод нечисловых значений вводит исполняемый код в цикл, значит, нужно заделать обработчик, который не даст пользователю так сделать. Иначе же ты сам себе молодец.

Согласна, это сложно, геморно, и очень легко перестараться, сделав работу невозможной.

Но другого пути в итоге нет.

Такие уж мы, люди.

Ответить
3
Развернуть ветку
Нужный корабль

Как-то позорно делать такие ошибки для "специалистов" этой сферы.

Ответить
0
Развернуть ветку
Нужный корабль

Позорно.
Но на одного специалиста обязательно найдётся несколько говнокодеров, которые хотят как можно скорее отбить свои 99USD/год.

Ответить
1
Развернуть ветку
Нужный корабль

Напоминает спор о вреде джейлбрейка, когда взлом таких устройств был осуществлен с помощью установки пользователем (!) самостоятельно (!) и добровольно (!) приложений из левых китайский источников (!!!).

Ответить
2
Развернуть ветку
Нужный корабль

Мистер Робот ин риал лайв. И так же через китайцев работают, кек

Ответить
5
Развернуть ветку
Нужный корабль

Хоспади, как смешно наблюдать как бомбит у адептов. Половина топа тж была в твитах вилсакома соответствующих.

Ответить
–2
Развернуть ветку
Нужный корабль

Самое время переходить назад к Java

Ответить
–5
Развернуть ветку
Нужный корабль

Как это поможет-то?

Ответить
2
Развернуть ветку
Нужный корабль

Нет приложений — нет проблем!

Ответить
3
Развернуть ветку
Нужный корабль

вернем 2007й!

Ответить
0
Развернуть ветку
Нужный корабль

Более 39 приложений - веселуха

Ответить
0
Развернуть ветку
Нужный корабль

странно это все: при публикации приложения в аппстор происходит доскональная валилация бинарника, начиная от версии IDE, заканчивая наличием в коде использования приватного API

как-то у меня не залилось в аппстор приложение, потому что я собирал его в бета-версии xcode

Ответить
0
Развернуть ветку
Нужный корабль

Действительно странно. Но изящно.

Аплодирую мастерству и изворотливости взломщиков.

Ответить
3
Развернуть ветку
Нужный корабль

Изящно? Чуваки взяли дистрибутив xcode, подменили 1 фреймворк, выложили на китайский файлообменник, какие-то идиоты скачали этот дистрибутив и собрали с помощью него приложение. Причем подменен был не бинарник IDE, а системный фреймворк.

А дальше самое интересное: подмененный фреймворк получал информацию, которую может получить ЛЮБОЙ разработчик, т.е ЛЮБОЕ ПРИЛОЖЕНИЕ УСТАНОВЛЕННОЕ на ваш айфон.

Ответить
0
Развернуть ветку
Нужный корабль

Все именно так. И?

Внедрить вредоносный код в приложения анально огороженного AppStore через инструменты для разработки с использованием человеческой тупости - идеально и просто относительно других способов.

Особенно про реквезиты карт сильно.

Ответить
1
Развернуть ветку
Нужный корабль

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Нужный корабль

Су&а, почему именно сейчас?

Ответить
–1
Развернуть ветку
Нужный корабль

От чего нас пытаются отвлечь на этот раз?

Ответить
0
Развернуть ветку
Читать все 20 комментариев
null