XcodeGhost malware besmet populaire iOS-apps
· Laatst bijgewerkt:
Tientallen iPhone- en iPad-apps blijken te zijn getroffen door nieuwe XcodeGhost malware, waaronder populaire apps zoals WeChat. Gelukkig is de kans klein dat je ermee te maken krijgt, want de meeste apps richten zich vooral op Chinese gebruikers. XcodeGhost verzamelt informatie op je toestel en stuurt dit door naar een server. Eigenlijk is er dus niet zoveel verschil met gratis games, die ook zoveel mogelijk informatie over je proberen te verzamelen. Het verschil is dat makers van gratis games bewust allerlei informatie over jou verzamelen, terwijl apps die met XcodeGhost zijn besmet het zonder medeweten van de ontwikkelaar doen.
Update 21 september: inmiddels heeft Apple honderden met XcodeGhost besmette apps uit de App Store gehaald.
XcodeGhost: wat is het?
Het bijzondere van XcodeGhost, is dat er geen misbruik wordt gemaakt van een kwetsbaarheid van iOS. In plaats daarvan is de kwaadaardige code opgenomen in Xcode, het officiële tool waarmee je iOS- en OS X-apps kunt ontwikkelen. Chinese ontwikkelaars downloaden deze aangepaste versie van Xcode van alternatieve sites, buiten Apple om. Daardoor kan Apple er in eerste instantie weinig aan doen. Als de ontwikkelaars gewoon via de officiële Apple-site Xcode hadden gedownload, hadden ze geen last van de besmetting gehad. Apple keurt de apps vervolgens goed en zet ze in de App Store. De aangepaste versies van Xcode zijn onder andere te vinden bij Baidu, de populaire Chinese site.
Chinese ontwikkelaars downloaden Xcode van alternatieve sites, vanwege de trage downloadsnelheid in China. “Soms zijn de netwerksnelheden erg traag als je grote bestanden moet downloaden van de Apple-servers”, zegt Palo Alto Networks, het beveiligingsbedrijf dat het XcodeGhost-probleem uitgebreid heeft onderzocht. “Omdat de standaard Xcode-installatiebestanden bijna 3GB groot zijn, downloaden sommige Chinese ontwikkelaars het pakket uit andere bronnen of krijgen het van collega’s”.
CIA-spionage
Helemaal ongekend is deze vorm van malware niet. Eerder dit jaar bleek dat ook de CIA een alternatieve versie van Xcode had gemaakt, om op deze manier kwaadwillende code in apps te verbergen. Apps gemaakt met deze CIA-versie zouden zich lenen voor bijvoorbeeld spionage.
Kan XcodeGhost kwaad?
XcodeGhost probeert allerlei informatie over de gebruiker te verzamelen, zoals huidige tijdtip, apparaatnaam en -type, taal en landinstellingen, het unieke UUID-nummer van het toestel en het netwerktype. De malware leek in eerste instantie vrij onschuldig. Het probeerde zoveel mogelijk data over gebruikers te verzamelen, zoals veel gratis games ook doen. In een update legt Palo Alto Networks uit dat XcodeGhost ook kwaadaardiger acties kan uitvoeren. De code kan commando’s van een aanvaller ontvangen en bijvoorbeeld een pop-up tonen, om inloggegevens van gebruikers te achterhalen (phishing). Palo Alto Networks concludeert daarom:
Based on this new information, we believe XcodeGhost is a very harmful and dangerous malware…
Volgens een ontwikkelaar heeft XcodeGhost al geprobeerd om achter iCloud-wachtwoorden van gebruikers te komen.
Een lijst met andere apps die getroffen zijn, vind je in ons artikel over het verwijderen van de apps door Apple. Daaruit blijkt dat het veelal om onbekende apps gaat, met als bekendste namen Angry Birds 2 en WeChat. WeChat heeft inmiddels een update uitgebracht, zonder geïnfecteerde code.
Het aantal malware-gevallen in de App Store is relatief weinig, vergeleken met Android. Eerdere malware die wél tot de App Store is doorgedrongen staat bekend onder namen als LBTM, InstaStock, FindAndCall, Jekyll en FakeTor.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Altijd downloaden vanuit iTunes dus en niet van een andere site!! Lijkt me dat je dan veiliger bent 😉
Lees je wel Marc?
Wat ik niet snap, hoe Apple die apps goed kan keuren. Bij een valentijn-app van mij werd die afgekeurd, omdat ze zagen dat ik data verstuurde naar m’n server om bij te houden wat de gebruiker gekozen had qua tekst en plaatjes.
Helemaal mee eens . Welke developer gaat er nou xcode downloaden van een onbekende bron … Gewoon gratis te downloaden uit de app store . Ok
Mischien in china wat trager dan zoon malware torrent met 9999 seeds.. Lol . Maar dan nog , zeker als developer moet je zo iets weten.
@KDApps: de malware code zit waarschijnlijk in de gebruikte frameworks en lower level executables in de gemodificeerde Xcode IDE, niet in de code van de developer(s) zelf. Dus moeilijker (maar niet onmogelijk) voor Apple om bij intake te detecteren.
Omdat de apps zelf waarschijnlijk gewoon legitiem zijn. Zoals Gonny al opmerkte: apps mogen data verzamelen en naar servers versturen. Er wordt geen misbruik gemaakt van bevoegdheden op iOS zelf. Apple gaat niet voor iedere ontwikkelaar controleren wat zij met die gegevens doen of waar deze naartoe gaan. Wat Apple wél doet is apps afkeuren die onnodig om bevoegdheden vragen puur en alleen voor het verzamelen van data. Wat er hier gebeurt is dat Xcode deze code in de broncode injecteert die dan zonder weten van de ontwikkelaar in de gecompileerde app terechtkomt. Omdat apps als Wechat om allerlei bevoegdheden vragen voor legitieme doeleinden, valt het gewoon niet op.
Ik zou zeggen dat het hier om adware voor OS X gaat, met iOS heeft dit niet direct iets te maken.
Zo spannend is het dus allemaal niet…
Dit was volgens mij vorig jaar ook al eens gemeld op iculture als ik me niet vergis?
Pangu heeft er checktool online gezet waarmee je kan zien of je iPhone al dan niet geïnfecteerd is.
Ik heb gelezen:
Dus als iedereen nu via de officiële weg zijn apps maakt (goed ik had het alleen over de eind gebruiker die het download), dan is er dus niets aan de hand.
Als dit uit de hand loopt zal een volgende versie van xCode geen offline libraries meer hebben, maar deze altijd direct van Apple halen…
@Marc: exact. Zo is het.
Kennelijk wel iets voor Apple om aan te werken met één of andere check of de app wel gemaakt is met de officiële xcode die Apple ter beschikking stelt. Moet toch relatief makkelijk te realiseren zijn dat officiële xcode een bepaalde controle toevoegd die bij de review van Apple weer uitgelezen kan worden.
Het was natuurlijk iets meer dan een beetje data verzamelen:
Maar goed Apple heeft de apps al uit de appstore gehaald.
Ik had de data nodig om de app te laten werken. En moest toentertijd van Apple vermelden dat ik data verzamelde en waarvoor ik het nodig had/gebruikte. En omdat ik ook om emailadressen vroeg, werd de app afgekeurd vanwege ‘spoofing’. Ze dachten dat ik emailadressen ging verzamelen om de mensen daarna lastig te vallen met emails.
@bakman: Dat klinkt inderdaad wel wat alarmerender dan de ‘praatjes voor de vaak’ die Apple laat verspreiden.
Maar zou nog indrukwekkender zijn met bronvermelding?! Er zijn natuurlijk ook partijen die het net zo graag willen opblazen als Apple het wil bagatelliseren… 😕
Onderzoekscentrum van Palo Alto Security – de ontdekker van de XcodeGhost-malware. Google
Had toch een app op mij iPhone. App gelijk verwijderd. Maar vreemd dat Apple niks meld. ICloud password aangepast.
Ivms-4500 Hikvision camera viewer.
mijn app werd 3 jaar geleden zelfs afgekeurd om een design flaw (je kon niet terug keren naar het hoofd menu, voor mijn app was dit niet nodig, maar ik moest een back button maken om de gebruiker terug te laten keren)
mijn mening, maak xcode 8 (of 7.2 mag ook al) zo dat bij installatie de frameworks worden gedownload van apple’s servers
op deze manier is de download kleiner voor chinese ontwikkelaars en zijn wij als ontwikkelaars veiliger en kunnen we weer het volle vertrouwen winnen van onze klanten
en verwijder AUB die functie om system plugin’s te ontwikkelen voor iOS
dit is een zeer grote bedreiging voor de veiligheid, vooral voor jailbrakers