XcodeGhost nos iPhones

Foi descoberto na semana passada um tipo de malware desenvolvido para iOS que conseguiu passar a segurança apertada relativa às aplicações que são submetidas na AppStore, colocando assim em risco vários milhões de utilizadores.

A Apple em declaração oficial já reconheceu a situação e já procedeu à remoção das aplicações infectadas sem dizer quantas ou quais é que se encontravam na AppStore.

Porque este é um assunto que levanta algumas dúvidas, deixamos agora aqui um FAQ com algumas pergunta e respostas sobre este malware para iOS.

1. O que é o XcodeGhost?

O XcodeGhost é um novo malware criado para afectar dispositivos que corram o iOS, tendo sido utilizado uma versão modificada do Xcode aquando do processo de criação da App.

2. Como é o XcodeGhost distribuído?

Uma versão do Xcode modificada com código malicioso foi introduzida num serviço de partilha de ficheiros do Baidu e descarregada por diversos programadores Chineses.

Desta forma esses programadores depois compilavam o software para iOS sem saberem que estavam a utilizar uma versão modificada do Xcode, o que permitiu que este malware conseguisse passar pelo processo de revisão da Apple para a aprovação das apps na AppStore.

3.Quais os dispositivos afectados?

Todos os modelos do iPhone, iPad e iPod Touch que corram uma versão do iOS compatível com as aplicações infectadas.

4. Quais as aplicações infectadas?

A empresa de segurança Palo Alto Networks, partilhou uma lista com mais de 50 aplicações infectadas, incluíndo WeChat, NetEase Cloud Music, WinZip, Didi Chuxing, Railway 12306, China Unicom Mobile Office.

5. Quantos utilizadores foram afectados?

Especula-se que cerca de 500 milhões de utilizadores possam ter descarregados uma das aplicações (ou actualizações) principalmente devido ao facto da app WeChat ser bastante popular na China.

6. Quais as versões do Xcode afetadas?

Qualquer versão da 6.1 à 6.4.

7. Quais os riscos que o XcodeGhost apresentam para o utilizador?

As aplicações infectadas permitem recolher informação sobre os dispositivos e depois, de forma encriptada, enviam esses dados para os servidores (C2) geridos pelos hackers. Os dados podem incluir:

      Hora e data actual
      Nome da aplicação infectada
      O bundle identifier da app
      Nome e tipo do dispositivo infectado
      Idioma e região do dispositivo
      UUID do dispositivo infectado
      Tipo de rede

Foi também descoberto que as aplicações infectadas podem receber comandos enviados pelos servidores geridos pelos hackers para alterar o comportamento da app:

      Criar uma janela a pedir usernames e passwords (phishing)
      Comprometer diversos URLs (hijacking) abrindo assim uma porta de possibilidades para explorar novas falhas no iOS.
      Ler e escrever dados no clipboard do iOS.
8. O XcodeGhost pode afectar utilizadores fora da China?

Sim. Algumas das apps infectadas estão disponíveis na AppStore de diversos países. A CamCard por exemplo é uma aplicação popular para ler e guardar cartões de visita que está disponível na AppStore dos EUA e outros países, enquanto que a WeChat apenas está disponível na China / países Asiáticos.

9. Porque é que os programadores descarregaram o Xcode modificado?

Devido ao tamanho do Xcode alguns programadores preferem descarregar o software disponível em mirrors em vez de o descarregarem dos servidores da Apple.

10. Como estão a Apple e os programadores a resolver o problema?

A Palo Alto Network diz que está a trabalhar em conjunto com a Apple para resolver o problema e para melhorar os processos de detecção, enquanto que os programadores actualizaram as suas aplicações para remover o malware.

A Apple emitiu um comunicado na reuters sobre este assunto: “We’ve removed the apps from the App Store that we know have been created with this counterfeit software. We are working with the developers to make sure they’re using the proper version of Xcode to rebuild their apps.”

11. Como me posso proteger?

Os utilizadores devem actualizar/remover imediatamente qualquer aplicação lista aqui. Alterar a password do iCloud ou quaisquer outras passswords introduzidas no seu dispositivo é também aconselhado.

Os programadores devem actualizar o Xcode para a versão 7 ou 7.1 beta e fazer o download apenas de fontes oficiais, neste caso os servidores da Apple.

Em Portugal os casos devem ser muito poucos, mas é sempre bom confirmar que sem alguma destas aplicações instaladas no seu dispositivo iOS.

Fonte: MacRumours

Fonte: Tudo sobre o virus do iPhone

App Store: Apple inicia limpeza devido a ataque de grande dimensão

Até ontem, apenas cinco apps infetadas chegaram à loja da Apple sem ser detetadas. Apple alerta programadores para não usarem ferramentas contrafeitas.

A Apple confirmou que a loja de apps do iPhone e do iPad foi alvo de um ataque de grandes proporções. A companhia reagiu ontem aos alertas lançados por várias empresas de segurança eletrónica dando início a um processo de “limpeza” da apps contaminadas por um código malicioso conhecido por XcodeGhost. O número de apps e utilizadores infetados não foi ainda revelado.

O nome do XcodeGhost explica em parte o método de disseminação deste malware: segundo referem os peritos, este código malicioso conseguiu pepetrar o primeiro ataque de grandes dimensões à loja da Apple através de uma “imitação” da plataforma Xcode, que costuma ser usada para as softwarehouses desenvolverem aplicações para os terminais da Apple.

O XcodeGhost terá começado a disseminar-se depois de vários programadores terem descarregado a versão maliciosa num servidor chinês, que teria como atrativo downloads mais rápidos que aqueles que, em média, costumam ser disponibilizados pelos servidores da Apple nos EUA.

De acordo com a BBC, as apps criadas com o XcodeGhost podem ser usadas para, remotamente e sem que os respetivos produtores saibam, desviar dados dos utilizadores, ou lançar falsos alertas que permitem obter passwords. Wechat, a app de aluguer de carros Didi Kuaidi, e o serviço de música da Netease estão entre as aplicações infetadas.

A Apple anunciou ontem que já começou a remover apps criadas com a versão contrafeita da Xcode (e que é conhecida por XcodeGhost). Mas essa é apenas uma parte da missão que a companhia tem pela frente: «Estamos a trabalhar com os programadores para garantir que estão a usar a versão adequada do Xcode para reconstruírem as apps», anunciou Christine Monaghan, porta-voz da Apple.

A Reuters revisitou o histórico de ataques à App Store e concluiu que, até à “invasão do XcodeGhost” apenas cinco apps tinham logrado passarem pelo escrutínio a que a Apple submete todas as aplicações antes de começar a disponibilizá-las na respetiva loja de software.

Entre os especialistas, há quem admita que outras lojas de aplicações poderão vir a ser alvo desta nova tendência de ataque que centra a mira nos programadores.

Fonte: App Store: Apple inicia limpeza devido a ataque de grande dimensão