Apple впервые сообщила о заражении приложений в App Store вирусами Материал редакции

Компания Apple удалила вредоносные приложения из App Store после первой официально признанной масштабной атаки на сервис. Об этом сообщает Reuters.

Впервые об атаке стало известно ещё 17 сентября после жалоб пользователей китайского сервиса микроблогов Weibo. За ними последовали исследование компании Alibaba и отчёт об атаке от фирмы по информационной безопасности Palo Alto Networks.

Согласно данным Palo Alto Networks, изначально вирус распространился через модифицированную версию инструмента для разработки приложений для iOS — Xcode. Как объяснили исследователи, в Китае загрузка установочных файлов с сайтов Apple зачастую происходит медленно, поэтому разработчики размещают их на сторонних файлообменниках, а в случае с Xcode речь шла о дистрибутиве в 3 ГБ.

Злоумышленники модифицировали Xcode, добавив в него заражённый файл CoreServices, который содержит системные сервисы, использующиеся практически в любом iOS-приложении. При компиляции программ к ним добавлялся вредоносный код (исследователи назвали его XcodeGhost), позволяя собирать данные о пользователе.

При запуске приложений, созданных при помощи модифицированной версии Xcode, устройство отправляло злоумышленникам пакет данных о пользователе. В него входили название приложения, время, тип и уникальный идентификатор устройства, страна местонахождения и используемый язык интерфейса, а также тип подключения к интернету.

Помимо этого, XcodeGhost отображал поддельные уведомления от приложений (например, чтобы через фишинговые схемы заставить пользователя ввести свои данные), перехватывал процесс открытия сторонних ссылок, а также мог читать содержимое буфера обмена системы. Последнее позволяло злоумышленникам красть пароли пользователей, скопированные из сторонних менеджеров кодов доступа вроде 1Password.

Хотя приложения в App Store проходят процедуру верификации, в данном случае модераторы Apple не заметили попадания вредоносного кода в их систему. По мнению исследователей в Palo Alto Networks, по сравнению с другими вирусами, созданными для iOS, поведение XcodeGhost было не таким уж и подозрительным.

Тем не менее при помощи XcodeGhost удалось заразить более 39 приложений в App Store, включая популярный аналог Uber Didi Chuxing, единственное официальное в Китае приложение для покупки железнодорожных билетов Railway 12306, а также абонентский сервис крупнейшего китайского оператора China Unicom Mobile Office. Не все из них находились в китайской версии App Store: уязвимыми оказались популярный ридер визитных карточек CamCard, находящийся в американском магазине, и мессенджер WeChat, популярный и за пределами Китая.

Вечером в воскресенье 20 сентября представители Apple подтвердили информацию, опубликованную в исследованиях Palo Alto Networks, и сообщили об удалении из App Store приложений, созданных при помощи XcodeGhost. По мнению специалистов по безопасности из Palo Alto Networks, разработчикам следует всегда использовать только официальные дистрибутивы, скачанные напрямую с сайтов Apple.

Мы удалили приложения из App Store, созданные с помощью этого поддельного ПО. Мы сотрудничаем с разработчиками, чтобы убедиться, что они используют корректную версию Xcode для повторной сборки их приложений.

Apple

В Apple не сообщили точное количество приложений, подверженных XcodeGhost, и не уточнили, какие меры могут предпринять пользователи для обнаружения у себя вредоносного кода.

Хотя приложения из официального App Store оказались массово заражены впервые, это не первый случай распространения китайских вирусов через iOS. Например, в конце августа 2015 года в Palo Alto Networks рассказали, что распространённый через магазин приложений Cydia зловредный код мог «угнать» данные около 225 тысяч пользователей. В ноябре 2014 года похожим образом оказались заражены сотни тысяч пользователей, скачавшие приложения из нелегального магазина Maiyadi App Store.

Пользователь предпочёл скрыть от вас своё описание.
{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f_\u0434\u043b\u044f_ios","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043a\u0440\u0430\u0436\u0430_\u043f\u0430\u0440\u043e\u043b\u0435\u0439","\u0432\u0438\u0440\u0443\u0441\u044b_\u043d\u0430_ios","\u0432\u0438\u0440\u0443\u0441\u044b","xcodeghost","xcode","palo_alto_networks","app_store","apple"], "comments": 20, "likes": 18, "favorites": 7, "is_advertisement": false, "subsite_label": "tech", "id": 56216, "is_wide": true, "is_ugc": true, "date": "Mon, 21 Sep 2015 10:35:52 +0300", "is_special": false }
Объявление на TJ
Комментарии

Просторный велосипед

7

По сути никто не ломал store, и он тут не причем. Виноваты разработчики которые скачали левый Xcode и удивляются тем что кто-то собирает их данные.

Жуткий рак

19

Вадим не смог написать этот текст потому что до сих пор лежит в отключке? От осознания невероятности случившегося с самой...

Уникальный паркур

5

Мистер Робот ин риал лайв. И так же через китайцев работают, кек

Технологии
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽
Обсуждаемое
Новости
NYT: судно, перевозившее взорвавшуюся в Бейруте аммиачную селитру, затонуло в ливанском порту в 2018 году
Корабль российского бизнесмена Rhosus отбуксировали на 300 метров от склада с селитрой. Он простоял пять лет, прежде чем уйти на дно из-за протечек.
Истории
(16+) Почему корейцы не любят Японию. История
В связи с появлением на ТЖ людей с прояпонскими взглядами мы считаем необходимым рассказать о причинах натянутых отношений между этими двумя странами с точки зрения корейцев.
Технологии
Самая масштабная утечка Intel: в сети опубликовали 20 ГБ исходного кода и закрытой документации о процессорах компании
В файлах уже обнаружили упоминания бэкдоров и неанонсированные платформы процессоров, но хакеры называют это лишь началом.
Популярное за три дня
Новости
96-летний итальянец исполнил мечту и получил степень бакалавра. Теперь он собирается в магистратуру
Никогда не поздно.
Новости
В Хабаровске в 29 раз прошла акция в поддержку экс-губернатора Сергея Фургала
Официально в протесте участвовали три тысячи человек, но журналисты утверждают, что людей было в разы больше.
Разборы
«Вот и дохранились»: рассказ капитана корабля, перевозившего взорвавшуюся селитру, о том, как она попала в порт Бейрута
Судно арестовали в порту из-за неоплаченных штрафов и по закону не должны были пускать в Ливан из-за опасности груза.