В прошлые выходные, 19-20 сентября, в магазине приложений App Store
Эксперты в области информационной безопасности выяснили две вещи: инфекция начала распространяться не в сентябре 2015 года, а в апреле, и пострадавших от XcodeGhost приложений было не 39 штук, а гораздо больше.
Специалисты компании Appthority
Эксперты компании FireEye пришли к еще более
Впрочем, есть среди новых подробностей и хорошая новость. Эксперты Appthority выяснили, что XcodeGhost вносил в код приложений далеко не самые страшные изменения. Малварь не пыталась вытянуть у пользователей личные данные, или пароли от iCloud и других сервисов. Исследователи пришли к выводу, что это скорее ad-ware. Измененные XcodeGhost приложения могут:
Отправлять запросы на сервер (используя фиксированный интервал между запросами)
Запросы содержат все идентификационные данные устройства (поведение типичное для tracking framework)
Ответ сервера может запустить следующие реакции:
Тем временем, компания Apple создала на официальном сайте страницу с
Для разработчиков Apple
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
настоящую эпидемию. Хакеры подделали инструмент для разработчиков Xcode, выпустив собственную версию, получившую имя XcodeGhost. В результате, все приложения, созданные с помощью XcodeGhost, оказались небезопасны. Спустя четыре дня, становится ясно, что таких приложений было куда больше, чем предполагалось изначально.Эксперты в области информационной безопасности выяснили две вещи: инфекция начала распространяться не в сентябре 2015 года, а в апреле, и пострадавших от XcodeGhost приложений было не 39 штук, а гораздо больше.
Специалисты компании Appthority
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, что им удалось идентифицировать уже 476 приложения, для разработки которых использовался поддельный Xcode. Также эксперты обнаружили, что атака началась еще весной текущего года, но перешла в активную фазу только осенью. В Appthority сумели составить примерный график заражений:Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Эксперты компании FireEye пришли к еще более
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
. По их данным, проблема гораздо масштабнее: в App Store содержится более 4000 приложений, пострадавших от XcodeGhost. К сожалению, ни Appthority, ни FireEye не указывают названий зараженных приложений. Также специалисты обеих компаний более не указывают на то, что пострадал в основном китайский сегмент App Store. Напомню, что именно к нему относились первые инфицированные приложения, о которых стало известно в начале недели, и именно из Китая, предположительно, была проведена атака.Впрочем, есть среди новых подробностей и хорошая новость. Эксперты Appthority выяснили, что XcodeGhost вносил в код приложений далеко не самые страшные изменения. Малварь не пыталась вытянуть у пользователей личные данные, или пароли от iCloud и других сервисов. Исследователи пришли к выводу, что это скорее ad-ware. Измененные XcodeGhost приложения могут:
Отправлять запросы на сервер (используя фиксированный интервал между запросами)
Запросы содержат все идентификационные данные устройства (поведение типичное для tracking framework)
Ответ сервера может запустить следующие реакции:
- Показать продукт App Store внутри приложения, используя SKStoreProductViewControllerDelegate
- Показать UIAlertView и продемонстрировать App Store view, в зависимости от того, какая кнопка была нажата
- Открыть URL
- «Уснуть» на определенное время
Тем временем, компания Apple создала на официальном сайте страницу с
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
. Компания обещает уведомить всех пользователей, скачавших вредоносные приложения из App Store, хотя не уточняет, когда и каким образом это будет сделано. В FAQ Apple упоминаются лишь 25 пострадавших приложений, среди которых, в основном, популярные в Китае приложения и Angry Birds 2:Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Для разработчиков Apple
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
следующие рекомендации: скачивать Xcode следует только с официальных серверов компании и все время держать Gatekeeper включенным. После завершения закачки, OS X проверит код программы и сравнит его с кодом, утвержденным Apple. Сигнатура кода также проверяется автоматически при закачке с сайта Apple Developer, при условии, что Gatekeeper включен.
