中国のアプリストアで見つかったiCloud認証情報を盗むマルウェアに感染した人気iOSアプリ

Appleの中国アプリストアで見つかった情報を盗むマルウェアに感染したアプリ

iOS App Storeは、Appleの厳格なセキュリティチェックのおかげで、通常は信頼できるソフトウェアのソースです。しかし最近、公式のApple App Storeにホストされている中国のアプリのいくつかが、ユーザーの電話から情報を吸い上げる不正なコードに感染していることが判明しました。ハッカーは、iOSおよびOS X用のアプリを作成するために開発者が使用するソフトウェアのいくつかのバージョンを標的にしたようです。

Weiboの中国の開発者たちが最初にこのマルウェアを指摘し、その後Alibabaの研究者によって分析されました。さらに、セキュリティ会社Palo Alto Networksが結果を確認しました。

セキュリティ専門家によると、非常に人気のあるアプリであるWeChat（非常に人気のあるメッセージングおよびソーシャルネットワーキングアプリ）やDidi Kuaidi（中国でのUberの主要な競争相手）なども脅威を抱えていました。

このハックは完全にXcodeに依存しています。XcodeはiOSおよびOS Xアプリを作成するためのツールです。一般的に、XcodeはAppleから直接無料でダウンロードできます。しかし、開発者フォーラムなどの他のソースからXcodeを入手することも可能です。問題は、開発者がサードパーティのサイトから改変されたXcodeのバージョン（Alibabaの研究者によって「XcodeGhost」と名付けられた）をダウンロードしたときに始まりました。

多くの開発者は、Appleから直接ではなく、Baiduクラウドファイル共有サービスからXcodeを取得することを選びました。しかし、なぜかそのダウンロードにはマルウェアが追加されており、改変されたXcodeで構築されたアプリがiPhoneからデバイス名や基本的なネットワーク情報などの一見無害なデータを取得するようになっていました。

しかし、このマルウェアはそれほど繊細ではありません。Palo Alto Networksのシニアマルウェア研究者Claud XiaoはForbesに対し、「攻撃者によってリモートで制御され、フィッシングやローカルシステムまたはアプリの脆弱性を悪用することができます」と述べました。これにより、XcodeGhostは潜在的により危険であり、さらなる悪用のためのiPhoneへの侵入点となるようです。

Palo Alto NetworksのUnit 42研究ユニットのインテリジェンスディレクターRyan Olsonはさらに説明しました。「感染したデバイスに関する情報をアップロードするためにコマンドとコントロールサーバーに接続した後、マルウェアはサーバーから暗号化された応答を取得します。この応答には複数の可能なコマンドが含まれています。そのうちの1つは、アラートプロンプトの形式でユーザーに送信するメッセージを指定します。」

「我々は、これが感染したアプリのユーザーからiCloudの認証情報を『フィッシング』するために使用されたという証拠を持っています。この応答には、アプリが開くURLも含まれる可能性があります。我々はこれがどのように使用されているかはわかりませんが、電話の他のアプリを潜在的に悪意のあるリソースに送信するために使用される可能性があります。」

アプリがダウンロードされると、XcodeGhostコードで開発されたアプリは顧客のデバイスに関する多くの詳細を収集します。抽出されたデータには、デバイスの名前、UUID、言語、国のネットワークタイプ、現在の時間が含まれますが、これらはハッカーが本当にあなたに対して使用できるものではありません。大きな侵害ではありませんが、誰も知らないソースに追跡されたくはありません。

非公式なソースからXcodeのコピーを取得した開発者は影響を受ける可能性があります。米国に拠点を置くPalo Alto Networksによると、感染は最初は中国のアプリに限定され、中国のユーザーに大きく影響を与えているようでした。しかし、現在では、はるかに多くのアプリが感染しており、世界中で数億人のユーザーに影響を与えていることが明らかになっています。同社は、米国や他の多くの国で最も人気のある名刺リーダーおよびスキャナーであるCamCardがXcodeGhostを含んでいることを指摘しました。

企業アプリを作成している開発者もXcodeGhostの影響を受ける可能性があります。これらは、企業が自社の従業員のデバイス専用に作成したアプリであり、Appleのセキュリティチェックを通過する必要がありません。しかし、「それはかなり不明瞭な攻撃です」と、2011年に自分の悪意のあるソフトウェアをApp Storeに載せたUberのセキュリティ研究者Charlie MillerはWiredに語りました。

App Store自体のマルウェアは懸念ではありませんが、ここでの大きな問題は、どのようにしてAppleの厳格なセキュリティチェックを通過したのかということです。

「あなたはアプリ開発者を完全に信頼しているかもしれませんし、その開発者は完全に信頼できるかもしれませんが、これはアプリがそうではなかったケースです」とMillerは言いました。改ざんされたXcodeから作成されたソフトウェアがどのようにしてApp Storeに入り込んだのかという事実です。

AppleはXcodeGhostおよび感染したアプリに関するコメントのリクエストには応じていません。

消費者や悪意のあるアプリをダウンロードした人々は心配すべきでしょうか？おそらく少しだけ。「あまり心配しない方がいい」とMillerは言います。通過したアプリは不快なことをするようには見えません。「もし本当に明らかに悪いものであれば、おそらく[Apple]はそれをキャッチするでしょう」とMillerは言います。

この話の教訓は、これらの信頼できないアプリの1つをダウンロードした場合は削除し、他のものが通過していることを報告することです。また、開発者はランダムなサードパーティのサイトからツールをダウンロードすべきではありません。