Foi descoberto na semana passada um tipo de malware desenvolvido para iOS que conseguiu passar a segurança apertada relativa às aplicações que são submetidas na AppStore, colocando assim em risco vários milhões de utilizadores.
A Apple em declaração oficial já reconheceu a situação e já procedeu à remoção das aplicações infectadas sem dizer quantas ou quais é que se encontravam na AppStore.
Porque este é um assunto que levanta algumas dúvidas, deixamos agora aqui um FAQ com algumas pergunta e respostas sobre este malware para iOS.
1. O que é o XcodeGhost?
O XcodeGhost é um novo malware criado para afectar dispositivos que corram o iOS, tendo sido utilizado uma versão modificada do Xcode aquando do processo de criação da App.
2. Como é o XcodeGhost distribuído?
Uma versão do Xcode modificada com código malicioso foi introduzida num serviço de partilha de ficheiros do Baidu e descarregada por diversos programadores Chineses.
Desta forma esses programadores depois compilavam o software para iOS sem saberem que estavam a utilizar uma versão modificada do Xcode, o que permitiu que este malware conseguisse passar pelo processo de revisão da Apple para a aprovação das apps na AppStore.
3.Quais os dispositivos afectados?
Todos os modelos do iPhone, iPad e iPod Touch que corram uma versão do iOS compatível com as aplicações infectadas.
4. Quais as aplicações infectadas?
A empresa de segurança Palo Alto Networks, partilhou uma lista com mais de 50 aplicações infectadas, incluíndo WeChat, NetEase Cloud Music, WinZip, Didi Chuxing, Railway 12306, China Unicom Mobile Office.
5. Quantos utilizadores foram afectados?
Especula-se que cerca de 500 milhões de utilizadores possam ter descarregados uma das aplicações (ou actualizações) principalmente devido ao facto da app WeChat ser bastante popular na China.
6. Quais as versões do Xcode afetadas?
Qualquer versão da 6.1 à 6.4.
7. Quais os riscos que o XcodeGhost apresentam para o utilizador?
As aplicações infectadas permitem recolher informação sobre os dispositivos e depois, de forma encriptada, enviam esses dados para os servidores (C2) geridos pelos hackers. Os dados podem incluir:
- Hora e data actual
- Nome da aplicação infectada
- O bundle identifier da app
- Nome e tipo do dispositivo infectado
- Idioma e região do dispositivo
- UUID do dispositivo infectado
- Tipo de rede
Foi também descoberto que as aplicações infectadas podem receber comandos enviados pelos servidores geridos pelos hackers para alterar o comportamento da app:
- Criar uma janela a pedir usernames e passwords (phishing)
- Comprometer diversos URLs (hijacking) abrindo assim uma porta de possibilidades para explorar novas falhas no iOS.
- Ler e escrever dados no clipboard do iOS.
8. O XcodeGhost pode afectar utilizadores fora da China?
Sim. Algumas das apps infectadas estão disponíveis na AppStore de diversos países. A CamCard por exemplo é uma aplicação popular para ler e guardar cartões de visita que está disponível na AppStore dos EUA e outros países, enquanto que a WeChat apenas está disponível na China / países Asiáticos.
9. Porque é que os programadores descarregaram o Xcode modificado?
Devido ao tamanho do Xcode alguns programadores preferem descarregar o software disponível em mirrors em vez de o descarregarem dos servidores da Apple.
10. Como estão a Apple e os programadores a resolver o problema?
A Palo Alto Network diz que está a trabalhar em conjunto com a Apple para resolver o problema e para melhorar os processos de detecção, enquanto que os programadores actualizaram as suas aplicações para remover o malware.
A Apple emitiu um comunicado na reuters sobre este assunto: “We’ve removed the apps from the App Store that we know have been created with this counterfeit software. We are working with the developers to make sure they’re using the proper version of Xcode to rebuild their apps.”
11. Como me posso proteger?
Os utilizadores devem actualizar/remover imediatamente qualquer aplicação lista aqui. Alterar a password do iCloud ou quaisquer outras passswords introduzidas no seu dispositivo é também aconselhado.
Os programadores devem actualizar o Xcode para a versão 7 ou 7.1 beta e fazer o download apenas de fontes oficiais, neste caso os servidores da Apple.
Em Portugal os casos devem ser muito poucos, mas é sempre bom confirmar que sem alguma destas aplicações instaladas no seu dispositivo iOS.
Fonte: MacRumours