XcodeGhost | הרוח שבתוך האפליקציה

ע״י

פרשת האפליקציות הנגועות בחנות היישומים של אפל התפוצצה בימים האחרונים ברחבי הרשת. אז מה בעצם זה אומר, והאם עלינו לחשוש מזה?

 

 

XcodeGhost

בימים האחרונים התפוצצה פרשיית אבטחה חדשה המכונה XcodeGhost (רוח רפאים ה-Xcode). פירצת האבטחה הנ״ל נמצאה במספר רב של אפליקציות אשר פותחו בעיקר על ידיי מפתחי אפליקציות סינים אשר בחרו להוריד את כלי פיתוח האפליקציות של אפל שלא מהאתר הרשמי שלה, בו זוכים המפתחים הן לגישה לכלל גירסאות הבטא החדשות של החברה, והן לכלים רבים לצורך פיתוח האפליקציות שלהם לשלל הפלטפורמות השונות של אפל.

אפל עצמה מספקת למפתחיה את Xcode, כלי המהווה את סביבת הפיתוח הרשמית לאפליקציות עבור מוצריה השונים של אפל (מכשירי האייפון, אייפד, השעונים, המק ולאחרונה גם הטלוויזיה). עד לפרסום הנושא, אפל לא העלתה את התוכנה לשרתי CDN סיניים באופן רשמי, דבר שהשקה על מפתחים סינים להוריד את התוכנה הכבדה ששוקלת כמה ג'יגהבייטים. בהתאם לכך קהילת המפתחים הסינים של אפל השתמשו בתוכנת Xcode לא רשמית אשר הועלתה לשרתי ענן סינים. אולם כפי הנראה מדובר בתוכנה פרוצה במסווה של האפליקציה המקורית, המכילה קוד זדוני המצרף את עצמו ללא ידיעת המפתח לתוך האפליקציה אותה הוא בונה. לאחר שהאפליקציה נבנתה במלואה, המפתח שולח אותה לאישורה של אפל, אשר בסופו של יום מאשרת אותה ומכניסה אותה לתוך חנות האפליקציות שלה, כאמור ללא ידיעה כי זו נגועה.

על פי נתונים ששחררה חברת האבטחה Palo Alto Networks, האפסטור כללה למעלה מ-50 אפליקציות נגועות באותו קוד זדוני, כאשר אחת הפופולריות יותר בניהן היא אפליקציית המשחק Angry Birds 2 של חברת Rovio. אפל מצידה כבר הספיקה להסיר את רוב האפליקציות הללו מחנות היישומים שלה  תוך שחרור הצהרה רשמית בנושא:

אנו הסרנו את האפליקציות מחנות האפליקציות אשר אנו יודעים כי נוצרו בעזרת התוכנה המזוייפת. אנו עובדים עם המפתחים על מנת לוודא כי הם משתמשים בתוכנת ה-Xcode המקורית לצורך בניית האפליקציות שלהם.

נכון להיום, פירצת האבטחה הנ״ל מאיימת על כ-500 מיליון משתמשי אייפון/אייפד ברחבי העולם בעיקר לאור השימוש בנרחב האפליקציית המסרים המידיים WeChat הסינית (המקבילה הסינית והמתחרה של Whatsapp) מאחר וגם היא נכללה ברשימת האפליקציות הנגועות שחדרו לחנות של אפל.

חלק מהאפליקציות הנגועות.

חלק מהאפליקציות הנגועות.

אז מה בעצם עושה אותה פירצת אבטחה, ואיך בדיוק היא מאיימת על אותם צרכני אפליקציות? ובכן במידה והתקנתם אפליקציה מבין רשימת האפליקציות הנגועות הללו, הינכם חשופים לגניבת פרטי מידע אישיים ממכשירכם, תוך הצפנתם ושילחתם לשרתים מרוחקים של אותם האקרים דרך פרוטוקול האינטרנט לגלישה באתרים, HTTP. המידע עצמו שנגנב מתוך אותם מכשירים נגועים מכיל בין היתר:

  • שעה מקומית של המכשיר.
  • שם האפליקציה הנגועה.
  • המזהה היחודי של האפליקציה במכשיר.
  • שם המכשיר והסוג שלו.
  • הגדרות השפה והאיזור של המכשיר.
  • מזהה המכשיר הייחודי (UDID).
  • סוג הרשת עליו עובד המכשיר.

בנוסף למידע הנ״ל שעלול להיגנב, אותן אפליקציות נגועות יכולות, על פי Palo Alto Networks, לקבל משרתי C2 של ההאקרים פקודות נוספות, ובכך לבצע בתוך מכשירי הקורבנות גם:

  • הצגת הודעות מזוייפות על גביי המסך על מנת לבצע הונאות פישינג.
  • חטיפת פתיחת כתובות אתרים ספציפיות המבוססות על התוכניות שלהן, ובכך לנצל לרעה חורי אבטחה במערכת ההפעלה iOS והן באפליקציות אחרות המותקנות בה.
  • קריאת ה-clipboard המשמש לשמירת מחרוזות שהועתקו בתוך המכשיר על ידיי פקודת העתקה המובנית, ובכך אף לגנוב סיסמאות במידה ואלו הועתקו מאפליקציות לניהול סיסמאות על ידיי המשתמש עצמו.

לפני שאתם קופצים ממקום מושבכם ומתחילים ״לברך״ את אותם מפתחי אפליקציות סינים בכל טוב על עצם היותם תמימים מספיק להוריד את Xcode מאתר שאינו רשמי, דעו כי במקומות רבים בסין, מהירות ההורדה משרתים חוץ מדינתיים (במקרה הזה, משרתים בארה״ב), הינה איטית להחריד, ועל כן ניסו אותם מפתחים לחפש חלופה תוך הורדת התוכנה משרתים סינים מקומיים אשר הבטיחו כי מדובר בגירסה המקורית של אפל בכבודה ובעצמה, וכמובן שיחקו על חוסר הידיעה כי מדובר בעצם באפליקציה זדונית לכל דבר ועניין.1221213333

אז איך אפשר להתגונן מפני המתקפה הזו? ובכן התשובה פשוטה ומהירה במיוחד. על אף מאמציה של אפל לאתר ולהסיר את כלל האפליקציות הנגועות משרתיה, ומהחנות שלה. נכון לעכשיו ידוע כאמור על כ- 50 אפליקציות נגועות, וכפי שצוין אפל הסירה בעצמה כ- 25 מהן מהאפסטור, בעוד בימים האחרונים אפליקציות אחרות עודכנו כדי להסיר את הרוגלה מקירבן. וזו הרשימה של האפליקציות אותן אפל הסירה:

  • WeChat
  • DiDi Taxi
  • 58 Classified – Job, Used Cars, Rent
  • Gaode Map – Driving and Public Transportation
  • Railroad 12306
  • Flush
  • (China Unicom Customer Service (Official Version*
  • CarrotFantasy 2: Daily Battle*
  • Miraculous Warmth
  • Call Me MT 2 – Multi-server version
  • Angry Bird 2 – Yifeng Li's Favorite*
  • Baidu Music – A Music Player that has Downloads, Ringtones, Music Videos, Radio, and Karaoke
  • DuoDuo Ringtone
  • NetEase Music – An Essential for Radio and Song Download
  • Foreign Harbor – The Hottest Platform for Oversea Shopping*
  • Battle of Freedom (The MOBA mobile game)

iTuneswechat

  • (One Piece – Embark (Officially Authorized*
  • [Let's Cook – Receipes [sic
  • Heroes of Order & Chaos – Multiplayer Online Game*
  • Dark Dawn – Under the Icing City (the first mobile game sponsored by Fan BingBing)*
  • I Like Being With You*
  • (Himalaya FM (Audio Book Community
  • CarrotFantasy*
  • Flush HD
  • Encounter – Local Chatting Tool

 

אנו באתר אייפונס ישראל מציעים לכם להיכנס לקישורית הבאה על מנת לצפות ברשימת האפליקציות שנכון לרגע זה ידועות כנגועות שעשויה להתעדכן ברגע שיתגלו אפליקציות נוספות שהן נגועות. ובמידה ואכן הינכם רואים כי אחת (או יותר) כזו מותקנת אצלכם במכשיר, מומלץ להסיר אותה לחלוטין ממכשירכם, או עדכנו אותה לגירסה החדישה ביותר בחנות אשר מכילה כבר תיקון לחור האבטחה הנ״ל. כמו כן היננו מציעים לעדכן את סיסמאות ה-iCloud שלכם וכן של כתובות הדואר האלקטרוני שלכם המותקנות במכשיר, וכמובן ממליצים בחום להפעיל את מצב אימות דו שלבי אותו מציעה אפל לכלל לקוחותיה על מנת לספק רשת הגנה נרחבת יותר. במידה והינכם מפתחי אפליקציות, אנא וודאו כי הינכם עובדים עם גירסאת Xcode מקורית אשר הורדה מאתר המפתחים של אפל בלבד! אל תסתמכו על הורדות מאתרים אחרים, גם במידה והינם מוכרים לכם.

מקורות: MacRumors, 9To5Mac, AppleInsider
תרגום, עריכה ותוספות: ebest