Якщо ви настільки збентежені, як ми, коли вперше почули про масштабний злом App Store у вихідні, ми тут, щоб допомогти.
Ось збірка всього, що ми знаємо про історію XcodeGhost, і ми будемо оновлювати її, коли буде розвиватися більше.
Що таке XcodeGhost?
Злом XcodeGhost являє собою перший широко розповсюджений випадок шкідливого програмного забезпечення в екосистемі iOS, і він використовує власну архітектуру Apple проти цього.
Xcode - це платформа програмування Apple, яку розробники використовують для створення програм, якими ви користуєтесь, та ігор, у які ви граєте. І модифікована версія цієї системи відповідає за проблеми, які ми бачили сьогодні. XcodeGhost використовує старішу версію Xcode для впровадження шкідливих функцій у додатки, не знаючи розробників, що вони там є. Будь -яка програма, створена з використанням скомпрометованої версії Xcode, потенційно скомпрометована.
Поганий Xcode… код потрапив до розробників через галузеві форуми, Оглядовий майданчик звітів. Це особливо приваблювало китайських розробників, оскільки вони могли завантажити версію Ghost швидше, ніж офіційну, безпосередньо з Apple. Вони не знали, що він змінений, тому, коли вони використовували його для створення своїх додатків та надсилали їх у App Store, код Ghost зберігався всередині нього.
Що робить XcodeGhost?
XcodeGhost сидить на тлі законних програм і видобуває їх для отримання даних, як невидима особа, яка обманює тест. Після запуску зараженої програми вона починає вибиратись. Речі, які він шукає, включають назву зараженого додатка, ідентифікатор пакета додатків (код, специфічний для розробника та програми, встановлений під час надсилання), назву пристрою та тип, інформацію про місцезнаходження та мову, інформацію про мережу та "identifierForVendor" пристрою (код, який допомагає підключати програми від того самого розробника, що працює на тому самому пристрій).
Фото: Шарль Рондо/Зображення у суспільному надбанні
Як тільки він отримає цю інформацію, Ghost надсилає її на зовнішній сервер, повідомляє охоронна компанія Palo Alto Networks. Що стосується того, що він робить з цією інформацією? Пало Альто каже, що шкідлива програма має можливість отримувати команди від сервера що може призвести до того, що ваш пристрій iOS відкриє веб -сторінки або створить підроблені підказки, щоб змусити вас відмовитися від свого Apple ID та пароля. Він навіть міг би отримати доступ до даних у вашому буфері обміну, щоб викрасти паролі, які ви зберегли в програмі управління, каже Пало Альто.
Які програми постраждали?
Через розповсюдження Ghost через форуми розробників у Китаї більшість заражених додатків з цієї країни. Ми склали список усіх відомих програм, на які впливає, тому перевірте там, чи немає у вас ризику.
Що ти можеш зробити?
Якщо ви користуєтесь одним із цих додатків, вам захочеться проявляти активність, тому ваш перший крок - видалити будь -який із встановлених вами програм. Ви також можете перевірити наш посібник із корисних порад для отримання додаткових пропозицій, наприклад, переконатися, що ви знаєте, звідки надходять діалогові вікна, і змінити пароль Apple на всяк випадок.
Хто це зробив?
Ми не знаємо, але а розмістити на сайті для спільного використання коду GitHub хтось, хто претендує на те, що є творцем XcodeGhost, пропонує кілька можливих відповідей. [Примітка: Ми переклали цей текст із китайської мови за допомогою Перекладача Google і спробували його очистити для наочності, тому можуть бути присутніми деякі помилки перекладу.]
Перш за все, я перепрошую за ту плутанину, яку приніс XcodeGhost. XcodeGhost з моїх власних експериментів, без будь -якої загрозливої поведінки, як детально описано у вихідному коді.
Так званий XcodeGhost насправді важко знайти підозрілим розробникам iOS. Код текстового файлу конфігурації компілятора Xcode можна завантажити, тому я написав код вище, щоб спробувати завантажити його на мережевий диск.
Усі дані в коді фактично отримують основну інформацію про додаток: ім’я програми, номер версії програми, номер версії системи, мова, назва країни, розробник, час встановлення програми, назва пристрою та пристрій типу. Крім того, він не збирає ніяких інших даних. Мушу зізнатися, що з корисливих міркувань я використовував рекламні функції в коді для просування цих додатків (ви можете підтвердити це у вихідному коді). Але насправді від початку до остаточного вимкнення сервера я не користувався функцією реклами. І 10 днів тому я зняв програму з сервера і видалив усі дані, але це ні на кого не вплине.
Щоб покласти край чуткам, так званий “XcodeGhost” був непродуманим експериментом, і зараз він мертвий.
Я хочу підкреслити, що інфіковані XcodeGhost програми не вплинуть на жодних користувачів і не отримують приватних даних, лише марний фрагмент коду.
Ще раз щиро прошу вибачення і бажаю приємних вихідних.
Фото: GitHub
Знову ж таки, ми не знаємо, що це твердження є справжнім творцем шкідливого програмного забезпечення, але якщо це правда, хак не повинен впливати на подальші програми. Однак ми все ще виступаємо за обережність.
Чи впливає XcodeGhost на програми в кожному App Store?
Фото: Rovio Entertainment
Швидка відповідь на це питання полягає в тому, що це залежить від програми. Хіба це не корисно?
Наприклад, гра розробника Rovio Angry Birds 2 є серед заражених, але компанія стверджує, що вразливість мають лише певні версії.
«Rovio може підтвердити, що китайська версія Angry Birds 2, яка була доступна лише в App Store на материку Китай, Тайвань, Гонконг та Макао були одним із додатків для iOS, які стали вразливими до проблеми безпеки ", - сказав Ровіо (через AppAdvice). "Усі інші збірки Angry Birds 2, доступні на всіх інших територіях, є абсолютно безпечними".
Тож, в основному, якщо розробник передав китайську розробку свого додатка китайському розробнику, то в цій конкретній версії може бути весь Ghost. І якщо розробник зробив усі версії свого додатка із зараженим кодом, який вони отримали з одного з цих форумів, це буде у всіх версіях. Але якщо вони отримали свій Xcode безпосередньо від Apple, це безпечно.
Нам доводиться розбиратися з цим у кожному конкретному випадку, і все це досить заплутано. Але припустимо, що якщо на вашому пристрої є додаток із списку вище, це може бути скомпрометовано.
