Apple lên tiếng sau vụ 39 ứng dụng trên App Store nhiễm malware

[WhiteHat News #ID:2112]

Apple đã gỡ các ứng dụng nhiễm malware trên Apple Store sau khi tuyên bố đây là một lỗ hổng an ninh trong thời gian dài, lần đầu xuất hiện trên App Store.

Mã độc này được biết đến với cái tên XcodeGhost. Nó thâm nhập vào một số ứng dụng bằng cách thuyết phục các nhà phát triển sử dụng một phiên bản Xcode bị thay đổi. Xcode là một phần mềm được sử dụng để phát triền phần mềm trên iOS và Mac.

Phát ngôn viên của Apple, Christine Monaghan trả lời tờ Reuters cho biết: “Chúng tôi đã gỡ những ứng dụng bị làm giả ra khỏi App Store. Chúng tôi đang làm việc với các nhà phát triển để đảm bảo họ đang sử dụng đúng phiên bản của Xcode khi tạo ứng dụng”.

Một trong số những ứng dụng nổi tiếng nhất bị ảnh hưởng bởi loại mã độc này chính là WeChat, ngoài ra còn có ứng dụng quét danh thiếp CamCard và ứng dụng cạnh tranh với Uber của Trung Quốc Didi Chuxing với hơn 600 triệu người sử dụng mỗi tháng. Trong một blog post của mình, Apple cho biết, mã độc này chỉ ảnh hưởng đến những phiên bản cho các ứng dụng ra đời trước ngày 10/9; phiên bản hiện tại mới ra đời cách đây 2 ngày không bị ảnh hưởng.

Công ty an ninh Palo Alto Networks đã điều tra về XcodeGhost và kết luận mã độc này có khả năng đánh cắp nội dung các cuộc trao đổi, mở URL, đọc và tạo các bảng dữ liệu clipboard, và gọi đây là một mã độc “rất nguy hiểm và đáng sợ”. Nó đã gây ảnh hưởng tới 39 ứng dụng.

Không có bằng chứng nào về việc đánh cắp dữ liệu nhưng XcodeGhost là một lỗ hổng an ninh đáng lo ngại bởi nó cho thấy những nhà phát triển rất có thể đang sử dụng những phần mềm độc hại và phần mềm này còn qua mắt được quá trình kiểm tra của Apple. Ông Ryan Oslo, nhân viên của Palo Alto cho biết, những phiên bản Xcode bị chỉnh sửa này đến từ Trung Quốc và có thể đã được sử dụng bởi nó được tải về nhanh hơn bản miễn phí chính thức trên Apple App Store.

Theo ITCNews​

 

Tại sao Apple để lọt mã độc Trung Quốc lên App Store?

Tại sao Apple để lọt mã độc Trung Quốc lên App Store?​

Cái tên được cộng đồng công nghệ nhắc đến nhiều nhất trong 2 ngày cuối tuần vừa qua chính là XcodeGhost - một malware (phần mềm độc hại) vừa bị phát hiện trên các ứng dụng iOS trên App Store.

Thông tin cũng được khẳng định đây là OFFICAL APP STORE - nghĩa là App store chính thức - nguồn tải ứng dụng an toàn nhất cho người dùng Apple chứ không phải từ một nguồn thứ 3.

Điều đáng nói, tất cả ứng dụng muốn xuất hiện trên App Store đều phải vượt qua quá trình kiểm duyệt gắt gao về thiết kế, giao diện cũng như nội dung trong thời gian vài tuần. Vậy XcodeGhost là gì, tại sao nó có thể vượt qua các chuyên gia bảo mật của Apple một cách dễ dàng như vậy?

XcodeGhost - cái tên được nhắc đến nhiều nhất 2 ngày vừa qua​

XcodeGhost là gì?

XcodeGhost là một malware (phần mềm độc hại) được tích hợp vào ứng dụng iOS, nó bắt nguồn từ bộ công cụ Xcode bị nhiễm mã độc. Xcode là công cụ của Apple cho phép lập trình viên tạo ra các ứng dụng iOS và OS X.

XcodeGhost bắt nguồn từ đâu?

Đầu tiên, một vài kẻ xấu đã "mod" phiên bản Xcode chính thức của Apple thành XcodeGhost (đã bị nhiễm mã độc), sau đó upload công cụ này lên dịch vụ chia sẻ file Baidu. Những lập trình viên iOS ở Trung Quốc đã tải về XcodeGhost về để làm việc (mà không hề hay biết bên trong có mã độc).

Những ứng dụng được lập trình bởi XcodeGhost sau đó "đường hoàng" vượt qua bài kiểm tra của Apple và được người dùng tải về thiết bị một cách bình thường qua App Store như mọi ứng dụng khác.

Tại sao các lập trình viên Trung Quốc lại tải Xcode từ Baidu thay vì bản chính thức trên website của Apple ?

Vấn đề của Xcode là dung lượng cài đặt lớn (3 GB), trong khi việc tải trực tiếp từ server Apple tại Trung Quốc lại chậm như rùa bò. Vì thế, rất nhiều lập trình viên Trung Quốc đã chọn giải pháp tải Xcode từ bên thứ 3 (Baidu) để tiết kiệm thời gian - chính hành động này đã lây nhiễm XcodeGhost vào các ứng dụng mà họ đang phát triển.

Việc tải Xcode từ Baidu đã vô tình lây nhiễm malware tới hơn 500 triệu người dùng trên thế giới​

Những thiết bị nào của Apple bị ảnh hưởng?

Tất cả các thiết bị chạy iOS bao gồm iPod, iPhone, iPad đã tải và cài đặt những ứng dụng nhiễm mã độc từ App Store Trung Quốc.

Những ứng dụng nào bị nhiễm XcodeGhost?

Theo thống kê của các chuyên gia bảo mật, đến thời điểm hiện tại, danh sách bị nhiếm XcodeGhost đã vượt quá 50 ứng dụng. Mặc dù các ứng dụng bị lây nhiễm chủ yếu đến từ App Store Trung Quốc. Tuy nhiên có một số cái tên quen thuộc như WeChat, White Tile và WinZip - những ứng dụng được sử dụng rộng rãi trên quy mô toàn cầu. Bạn có thể xem danh sách đầy đủ các ứng dụng bị lây nhiễm:

Danh sách những ứng dụng bị lây nhiễm XcodeGhost​

Bao nhiêu người dùng đã bị ảnh hưởng?

Tính đến thời điểm hiện tại, thống kê cho thấy có hơn 500 triệu người dùng bị ảnh hưởng bởi XcodeGhost. Trong đó chủ yếu đến từ lượng người dùng đông đảo của ứng dụng WeChat.

Người dùng ở Việt Nam có bị ảnh hưởng không?

Rất tiếc, câu trả lời là CÓ. Nếu bạn đã tải về và sử dụng các ứng dụng trong danh sách ở trên thì thiết bị của bạn đã nhiễm XcodeGhost.

Người dùng WeChat trên khắp thế giới đã bị nhiễm malware này​

Xcode Ghost có liên quan tới việc jailbreak hay không?

Không, XcodeGhost có thể hoạt động trên cả thiết bị jailbreak hoặc không!

XcodeGhost sẽ làm gì thiết bị của bạn?

Đầu tiên, các ứng dụng iOS bị lây nhiễm XcodeGhost sẽ thu thập thông tin của người dùng và thiết bị, sau đó gửi đến server của hacker. Cụ thể, các thông tin đó là:
- Thời gian hiện tại
- Ứng dụng bị lây nhiễm
- Tên thiết bị và model
- Quốc gia
- UUID thiết bị
- Loại kết nối mạng

Ngoài ra, trung tâm nghiên cứu bảo mật Palo Alto Networks khẳng định XcodeGhost còn có những hành động nguy hiểm hơn:
- Hiển thị thông báo, màn hình đăng nhập giả trên màn hình để đánh cắp tài khoản iCloud (đòi tiền chuộc) và những thông tin cá nhân khác (email, tài liệu, hình ảnh, thẻ tín dụng...)
- Tự động truy cập các trang web mà không cần sự cho phép của người dùng
- Đọc/ghi dữ liệu từ clipboard của máy để "ăn trộm" thông tin cá nhân của người dùng, ví dụ mật khẩu

Động thái của Apple trước tình trạng khẩn cấp này

Theo thông báo chính thức từ hãng tin Reuters, Apple khẳng định đã gở bỏ tất cả các ứng dụng bị lây nhiễm XcodeGhost đồng thời có cơ chế kiểm tra các phiên bản Xcode hợp lệ. Những lập trình viên phải phát triển ứng dụng của mình với phiên bản Xcode chính thức.

Ứng dụng nổi tiếng nhất bị nhiễm XcodeGhost là WeChat cũng đã cập nhật lên phiên bản 6.2.6 mới. Người dùng WeChat 6.2.5 (đang bị nhiễm XcodeGhost) cần phải nhanh chóng gỡ bỏ/cập nhật phiên bản mới ngay từ bây giờ.

Người dùng WeChat cần cập nhật lên phiên bản mới nhất​

Người dùng phải làm gì nếu thiết bị của họ đã bị nhiễm XcodeGhost?

Hãy bình tĩnh, đầu tiên, bạn phải lập tức gỡ bỏ các ứng dụng iOS bị lây nhiễm (có trong danh sách sau) và chỉ cài đặt trở lại khi có thông báo chính thức từ các nhà phát triển ứng dụng. Sau đó, hãy đổi mật khẩu tất tất cả các tài khoản mà bạn từng sử dụng trên thiết bị iOS của bạn, trong đó quan trọng nhất là iCloud. Còn nếu bạn không yên tâm, chúng tôi khuyến cáo bạn nên backup các dữ liệu quan trọng, sau đó restore thiết bị của mình về trạng thái ban đầu.
Đây cũng là 1 bài học cho các lập trình viên: tuyệt đối không sử dụng các công cụ lập trình có nguồn gốc không rõ ràng, hãy tải về từ trang chủ của hãng (Apple, Microsoft, Google...) để đảm bảo cho ứng dụng của bạn cũng như sự an toàn của người tiêu dùng.

TTT​