XcodeGhost: Όπως ανακαλύφθηκε από την εταιρεία ασφαλείας Palo Alto Networks, στις 17 Σεπτεμβρίου του 2015, μια τροποποιημένη έκδοση του Xcode της Apple ένα ολοκληρωμένο περιβάλλον ανάπτυξης (IDE) χρησιμοποιήθηκε από Κινέζους προγραμματιστές για να διανέμουν κακόβουλο λογισμικό εν αγνοία τους μέσω ενός compiler που ονομάζεται XcodeGhost.
Ο κακόβουλος κώδικας περνούσε μέσα στις iOS εφαρμογές τους, χωρίς να το γνωρίζουν όπως προαναφέραμε. Η Apple φέρεται να μην ανέφερε τίποτα για το θέμα, και μόλις χθες επιβεβαίωσε ότι περίπου 300 malware είχαν περάσει σε iOS εφαρμογές και αφαιρέθηκαν από το App Store.
Η Christine Monaghan της Apple ανέφερε στην Guardian ότι
“Έχουμε αφαιρέσει τις εφαρμογές από το App Store που γνωρίζουμε ότι έχουν δημιουργηθεί με αυτό το πλαστό λογισμικό. Συνεργαζόμαστε με τους προγραμματιστές για να βεβαιωθούμε ότι χρησιμοποιούν τη σωστή έκδοση του Xcode για να ξανά-αναπτύξουν τις εφαρμογές τους.”
Που κολλάει η CIA όμως; Το Intercept ανέφερε στις 10 Μαρτίου του 2015, ότι κατά τη διάρκεια μιας μυστικής ετήσιας συνάντησης που οι ερευνητές ασφαλείας εργάζονται με την Κεντρική Υπηρεσία Πληροφοριών (CIA) για να μοιραστούν τις τελευταίες ανακαλύψεις τους, μερικοί από τους ερευνητές που ήταν παρών ανέφεραν ότι δημιούργησαν μια τροποποιημένη έκδοση του Xcode που είναι ικανή να προσθέσει backdoors σε οποιαδήποτε εφαρμογή αναπτύσσει ο προγραμματιστής.
Επιπλέον, οι εφαρμογές iOS που δημιουργήθηκαν χρησιμοποιώντας το κακόβουλο Xcode IDE είχαν την ικανότητα να κλέβουν κωδικούς πρόσβασης από τις συσκευές, και να τους αποστέλλουν σε ένα κέντρο διοίκησης και ελέγχου της επιλογής τους.
Όπως αποκαλύπτεται στη δημοσίευση του Intercept:
“Παραμένει ασαφές το πώς οι μυστικές υπηρεσίες θα κάνουν τους προγραμματιστές να χρησιμοποιήσουν την “πειραγμένη” έκδοση του Xcode.”
Το κακόβουλο λογισμικό που περιέγραψαν οι ερευνητές ασφαλείας της CIA έχει πολύ παρόμοιες δυνατότητες με το XcodeGhost και ο τρόπος που θα μπορούσε να μολύνει τις εφαρμογές του iOS ταιριάζει με αυτόν που χρησιμοποιείται από το XcodeGhost.
Θα πρέπει επίσης να αναφέρουμε, ότι πριν από λίγες ημέρες, όπως ανακαλύφθηκε από την PixelsTech, ένας ανώνυμος χρήστης του Github δημοσίευσε σε ένα νέο αποθετήριο τον δήθεν πηγαίο κώδικα του XcodeGhost αναφέροντας στην περιγραφή ότι το κακόβουλο λογισμικό δεν θα έκλεβε προσωπικά στοιχεία από τους χρήστες του iOS.
Ισχυρίζεται δε ότι το XcodeGhost σχεδιάστηκε για να αποδείξει το γεγονός ότι το Xcode επιτρέπει να τροποποιήσετε τα αρχεία ρυθμίσεων και ότι φορτώνει προσαρμοσμένο πηγαίο κώδικα.
Να αναφέρουμε ότι ο μόνος λόγος που έχει συμβεί αυτή η ιστορία είναι ότι οι Κινέζοι προγραμματιστές αναζητούσαν έναν server από όπου θα μπορούσαν να κατεβάσουν γρήγορα το Xcode. Να υπενθυμίσουμε ότι το ασιατικό δίκτυο APNIC, μπορεί να είναι πολύ γρήγορο εντός της Ασίας, αλλά “σέρνεται” αν κάποιος προσπαθήσει να κατεβάσει κάτι από την Ευρώπη ή την Αμερική.
Έτσι οι κακόβουλοι εγκαταστάτες του Xcode που διανέμονται μέσω της cloud υπηρεσίας διαμοιρασμού αρχείων της Baidu, έγιναν ανάρπαστοι από τους Κινέζους προγραμματιστές.