version 9.9.9

Därför lyckades XCodeGhost

XCodeGhost är den första allvarliga attacken mot App Store och attacken lyckades få in ett antal appar in i butiken, förbi Apples kontroller. Attacken lyckades på grund av överseenden och The Great Firewall of China.

XCodeGhost är spyware som samlar in information om användaren och skickar den vidare till servrar ute på nätet. Koden har hittats i ett stort antal appar, främst kinesiska och siffrorna på hur många appar som lyckades ta sig förbi kontrollerna varierar från några få till flera hundra. Apple själva säger att de hittat ett tjugofemtal appar i App Store.

Stoppade

Apparna är stoppade, bortplockade eller redan uppdaterade. Hur många som har drabbats är också svårt att veta. Det fanns med flera populära appar på listan däribland Wechat, den kinesiska versionen av Angry Birds 2 och CamCard. Säkerhetsföretagen har förstärkt uppgifterna genom att tala om 'potentiellt' drabbade och i siffror som att hundratals miljoner användare kan ha drabbats. 

Det går inte att dra tvärsäkra slutsatser enbart utifrån antalet nedladdningar då det i fallet med Wechat exempelvis gäller en äldre version. Vi vet ju inte heller om användarna har kvar de smittade apparna. Oavsett hur beräkningarna än görs så visar XCodeGhost på brister i Apples system och kontroller. Omfattningen är också otvetydigt mycket stor och attacken är mycket allvarlig.

XCode

XCode är Apples verktyg för att bygga appar. Det är ett program på 3-4 GB i storlek och det är här The Great Firewall of China kommer in. Kinas omfattande kontroll av internettrafiken i landet leder till mycket långa nedladdningstider. Därför har XCode laddats och lagrats bland annat på den kinesiska sociala tjänsten Baidu. Det är en äldre version av XCode som lagrats på Baidu som visat sig vara smittad med XCodeGhost.

Det smittade verktyget har sedan använts för att skapa smittade appar.

Attacken

De ansvariga bakom attacken har sannolikt först smittat en app, skickat in den till Apple och sett att koden tar sig förbi Apples kontroller. Sedan har XCode smittats och lagts upp på Baidu.

Backar Apple bandet så är det inte uteslutet att den första, ursprungliga appen går att hitta och utvecklarna bakom den första smittade appen.

Apples överseende och miss är valideringen och kontrollen av XCode. Utvecklarna själva kan verifiera sin version av XCode med ett kommando men det finns inga ytterligare kontroller av XCodes integritet. Räkna med att Apple ganska snart kommer att i föra checksummor och kontroller av XCode för att se till att XCodeGhost inte upprepas.

Facit

Med facit i hand går det alltid att vara efterklok och alla system testas, utforskas och prövas. De som vill iscensätta attacker letar hela tiden efter eventuella svagheter och opfta lyckas de. I det här fallet visade det sig vara Apples eget utvecklingsverktyg som var akilleshälen. Apple har utrett det inträffade, städat App Store, lagt in kod i sina kontrollsystem som upptäcker XCodeGhost och också vidtagit åtgärder som gör att kinesiska utvecklare ska kunna ladda ned XCode utan långa nedladdningstider. Verifierade och kontrollerade versioner av XCode kommer att kunna laddas ned innanför The Great Firewall of China.

Kontroller

Sedan kommer, det är jag övertygad om, kontroller av vilken version av XCode som utvecklaren har använt när en app lämnats in till Apple. Det kan också komma interna egna kontroller av XCode. En manipulerad version av verktyget kommer inte att gå att använda för att skapa appar med. Apple kommer att skärpa säkerheten och det kommer att gå snabbt. Redan nu har brev skickats ut till alla utvecklare med information om hur de kan kontrollera sin version av XCode och kinesiska utvecklare kan lättare ladda hem utvecklingsverktyget.

Apple kommer inte att ge sig med det utan det kommer fler åtgärder framöver som ska förhindra liknande attacker. 

Publicerad: 2015-09-23 12:00:00


Kommentar

blog comments powered by Disqus