Jei esate toks sumišęs, kaip ir mes, kai pirmą kartą išgirdome apie pagrindinį „App Store“ įsilaužimą savaitgalį, mes esame čia, kad padėtume.
Čia yra viskas, ką žinome apie „XcodeGhost“ istoriją, ir mes ją atnaujinsime, kai tik vystysimės.
Kas yra „XcodeGhost“?
„XcodeGhost“ įsilaužimas yra pirmasis plačiai paplitęs kenkėjiškų programų incidentas „iOS“ ekosistemoje, ir jis naudoja „Apple“ architektūrą.
Xcode yra „Apple“ programavimo sistema, kurią kūrėjai naudoja kurdami jūsų naudojamas programas ir žaidimus. Ir modifikuota šios sistemos versija yra atsakinga už problemas, su kuriomis susidūrėme šiandien. „XcodeGhost“ naudoja senesnę „Xcode“ versiją kenkėjiškoms funkcijoms įdiegti į programas, kūrėjams net nežinant, kad jos yra. Bet kuri programa, sukurta naudojant pažeistą „Xcode“ versiją, gali būti pažeista.
Blogas „Xcode…“ kodas kūrėjams pateko per pramonės forumus, Saugokis ataskaitas. Tai ypač viliojo Kinijos kūrėjus, nes jie galėjo atsisiųsti „Ghost“ versiją greičiau nei oficiali tiesiogiai iš „Apple“. Jie nežinojo, kad jis buvo modifikuotas, todėl, kai jie jį naudojo savo programoms kurti ir pateikė jas „App Store“, „Ghost“ kodas buvo išsaugotas jo viduje.
Ką veikia „XcodeGhost“?
„XcodeGhost“ yra teisėtų programų fone ir ieško jų kaip nematomas asmuo, apgaudinėjantis testą. Paleidus paveiktą programą, ji pradeda rinkti. Tai, ko ji ieško, apima užkrėstos programos pavadinimą, programos paketo identifikatorių (kodas, būdingas kūrėjui ir programos rinkiniui pateikimo metu), įrenginio pavadinimą ir tipo, vietos ir kalbos informacija, tinklo informacija ir įrenginio „identifierForVendor“ (kodas, padedantis sujungti to paties kūrėjo programas, veikiančias tuo pačiu prietaisas).
Nuotrauka: Charlesas Rondeau/Public Domain Pictures
Gavęs šią informaciją, „Ghost“ siunčia ją į išorinį serverį, sako saugumo įmonė „Palo Alto Networks“. Ką jis daro su šia informacija? Palo Alto sako, kad kenkėjiška programa turi galimybę gauti komandas iš serverio dėl to jūsų „iOS“ įrenginys gali būti priverstas atidaryti tinklalapius arba sukurti suklastotus raginimus jus apgauti atsisakius „Apple ID“ ir slaptažodžio. Palo Alto sako, kad ji netgi gali pasiekti jūsų iškarpinėje esančius duomenis, kad pavogtų slaptažodžius, kuriuos išsaugojote valdymo programoje.
Kurios programos yra paveiktos?
Dėl „Ghost“ platinimo Kinijoje įsikūrusiuose kūrėjų forumuose dauguma užkrėstų programų yra iš tos šalies. Mes sudarėme sąrašą visų žinomų paveiktų programų, todėl ten patikrinkite, ar jums gresia pavojus.
Ką tu gali padaryti?
Jei naudosite vieną iš šių programų, norėsite būti iniciatyvūs, todėl pirmas žingsnis yra ištrinti bet kurią iš šiuo metu įdiegtų. Taip pat galite patikrinti mūsų naudingų patarimų vadovas norėdami gauti daugiau pasiūlymų, pvz., būti tikri, kad žinote, iš kur kyla dialogo langai, ir pakeisti „Apple“ slaptažodį.
Kas tai padarė?
Mes nežinome, bet a paskelbti kodo bendrinimo svetainėje „GitHub“ kažkas, teigiantis esąs „XcodeGhost“ kūrėjas, siūlo keletą galimų atsakymų. [Pastaba: mes išvertėme šį tekstą iš kinų kalbos naudodami „Google“ vertėją ir bandėme jį išvalyti, kad būtų aiškiau, todėl gali būti kai kurių vertimo klaidų.]
Pirmiausia atsiprašau už „XcodeGhost“ sukeltą painiavą. „XcodeGhost“ yra iš mano eksperimentų, be jokio grėsmingo elgesio, kaip nurodyta šaltinio kode.
Neįtariantiems „iOS“ kūrėjams iš tikrųjų sunku rasti vadinamąjį „XcodeGhost“. Galima įkelti modifikuotą „Xcode“ kompiliatoriaus konfigūracijos teksto failo kodą, todėl parašiau aukščiau esantį kodą, kad pabandyčiau įkelti jį į tinklo diską.
Visi kodo duomenys iš tikrųjų įgyja pagrindinę programos informaciją: programos pavadinimą, programos versijos numerį, sistemos versijos numeris, kalba, šalies pavadinimas, kūrėjas, programos diegimo laikas, įrenginio pavadinimas ir įrenginys tipo. Be to, ji nerenka jokių kitų duomenų. Turiu prisipažinti, kad dėl savanaudiškų priežasčių panaudojau kode esančias reklamos funkcijas šioms programoms reklamuoti (tai galite patvirtinti šaltinio kode). Bet iš tikrųjų nuo pradžios iki galutinio serverio išjungimo nesinaudojau reklamos funkcija. Ir prieš 10 dienų aš pašalinau programą iš serverio ir pašalinau visus duomenis, tačiau tai niekam neturės jokios įtakos.
Siekiant nutraukti gandus, vadinamasis „XcodeGhost“ buvo netinkamas eksperimentas, ir dabar jis miręs.
Noriu pabrėžti, kad „XcodeGhost“ užkrėstos programos neturės įtakos jokiems vartotojams ir negauna privačių duomenų, tik nenaudingą kodą.
Dar kartą nuoširdžiai atsiprašau ir linkiu malonaus savaitgalio.
Nuotrauka: „GitHub“
Vėlgi, mes nežinome, kad šį teiginį pateikė tikrasis kenkėjiškų programų kūrėjas, tačiau jei tai tiesa, įsilaužimas neturėtų turėti įtakos daugiau programoms, kurios bus tęsiamos ateityje. Tačiau mes vis dar pasisakome už atsargumą.
Ar „XcodeGhost“ veikia programas kiekvienoje „App Store“?
Nuotrauka: „Rovio Entertainment“
Greitas atsakymas į šį klausimą yra tas, kad tai priklauso nuo programos. Ar tai nepadeda?
Pavyzdžiui, kūrėjo „Rovio“ žaidimas „Angry Birds“ 2 yra įtrauktas į nukentėjusiųjų sąrašą, tačiau bendrovė teigia, kad pažeidžiamumas yra tik tam tikrose versijose.
„„ Rovio “gali patvirtinti, kad kinų sukurtas„ Angry Birds 2 “, kurį buvo galima įsigyti tik„ App Store “žemyninėje dalyje Kinija, Taivanas, Honkongas ir Makao buvo viena iš „iOS“ programų, pažeidžiamų dėl saugumo problemų “, - sakė Rovio. „AppAdvice“). „Visos kitos„ Angry Birds 2 “versijos, prieinamos visose kitose teritorijose, yra visiškai saugios.
Taigi iš esmės, jei kūrėjas užsakė savo programos kūrimą kinams Kinijos kūrėjui, tada toje konkrečioje versijoje gali būti „Ghost“. Ir jei kūrėjas sukūrė visas savo programos versijas su užkrėstu kodu, kurį gavo iš vieno iš šių forumų, tai bus visose versijose. Bet jei jie gavo savo „Xcode“ tiesiai iš „Apple“, tai yra saugu.
Turime tai spręsti kiekvienu atveju atskirai, ir visa tai yra gana painu. Tačiau tik pagalvokite, kad jei jūsų įrenginyje yra programa iš aukščiau pateikto sąrašo, ji gali būti pažeista.
