改ざんされたXcodeを介し感染が広がっているマルウェア「XcodeGhost」のXcode 7&iOS 9対応版「XcodeGhost S」が発見されたそうです。詳細は以下から。
XcodeGhostとは?
今年9月、改ざんされたXcodeでコンパイルしたアプリを介し、JailbreakされていないiOSにも感染するマルウェア「XcodeGhost」が発見され、AppleはこのXcodeGhostに感染したアプリをApp Storeから削除し、OS Xのウィルス定義ファイルXProtectをアップデート&正規のXcodeかどうかを確認するためのサポートドキュメントを公開しましたが、
iOSの脆弱性を利用しiOSアプリをマルウェアへ置き換える手法「Masque Attack[1, 2]」を発見した米セキュリティーベンダーのFireEye Incが本日公開したXcodeGhostの調査レポートによると、新たにXcode 7およびiOS 9に対応したXcodeGhostの亜種「XcodeGhost S」を確認したそうです。
We have uncovered a variant of #XcodeGhost w/ active infections in enterprises around the world https://t.co/t1bmNmk4zz #Apple #iOS
XcodeGhost Modified to Exploit iOS 9
We have worked with Apple to have all XcodeGhost and XcodeGhost S (described below) samples we have detected removed from the App Store.
XcodeGhost is planted in different versions of Xcode, including Xcode 7 (released for iOS 9 development). In the latest version, which we call XcodeGhost S, features have been added to infect iOS 9 and bypass static detection.
[XcodeGhost S: A New Breed Hits the US – FireEye Inc]
XcodeGhost S
XcodeGhost騒動については開発者と名乗る人物が、XcodeGhostのソースコードを公開[1, 2]し終息したかに見えましたが、新たにFireEye Incが発見したXcodeGhost Sは、iOS 9で導入されたApp Transport Security(ATS)に対応。開発者向けに用意されたATSを無効にするinfo.plist設定(NSAllowsArbitraryLoads)を判別しユーザーの個人情報を収集するXcodeGhostのCommand and Control(CnC)サーバーへアクセスするそうで、
According to [1], Apple introduced the “NSAppTransportSecurity” approach for iOS 9 to improve client-server connection security. By default, only secure connections (https with specific ciphers) are allowed on iOS 9. Due to this limitation, previous versions of XcodeGhost would fail to connect with the CnC server by using http. […] As shown in Figure 6, the XcodeGhost S sample reads the setting of “NSAllowsArbitraryLoads” under the “NSAppTransportSecurity” entry in the app’s Info.plist and picks different CnC servers (http/https) based on this setting.
[XcodeGhost S: A New Breed Hits the US – FireEye Inc]
既にこのXcodeGhost Sに感染したアプリ「自由邦」がApp Storeに登録されていたそうですが、FireEye IncはAppleにこれを報告しており、Appleはこのアプリをアメリカおよび中国のApp Storeから削除したそうです。
The FireEye iOS dynamic analysis platform has successfully detected an app (“自由邦”) [2] infected by XcodeGhost S and this app has been taken down from App Store in cooperation with Apple. It is a shopping app for travellers and is available on both U.S. and CN App Stores. As shown in Figure 8, the infected app’s version is 2.6.6, updated on Sep. 15.
[XcodeGhost S: A New Breed Hits the US – FireEye Inc]
FireEye Incのレポートによると、XcodeGhostの発見後4週間でXcodeGhostのCnCサーバーにあったアクセス数は28,000以上で、XcodeGhostに感染したアプリをインストールしてしまった場合、現在のところユーザーはそのアプリを削除しアップデートを適用するしか対応策は無いようです。また、FireEyeのレポートにはXcodeGhostに感染したアプリの詳細などが記載されているので、興味がある方は関連リンクからどうぞ。
関連リンク:
コメント
もう非正規のxcodeを使った奴は垢バンしろよ。
開発のガイドラインで禁止する条項を加えるべき