Palo Alto Networks รายงานมัลแวร์ตัวใหม่ชื่อ XcodeGhost จู่โจมแอพจีนชื่อดังหลายตัว ซึ่งรวมถึง WeChat เวอร์ชัน iOS ด้วย
XcodeGhost อาศัยช่องว่างที่ว่าไฟล์ Xcode ของแอปเปิลมีขนาดใหญ่ ต้องใช้เวลาดาวน์โหลดนาน นักพัฒนาในประเทศจีนจึงใช้วิธีดาวน์โหลดจาก mirror ในประเทศแทน ซึ่งทำให้แฮ็กเกอร์แก้แพ็กเกจของ Xcode โดยฝังมัลแวร์ลงไปด้วย (อยู่ในส่วน CoreServices)
Xcode เวอร์ชันฝังพิษจะแอบฝังโค้ดของตัวเองลงในแอพ iOS ตอนคอมไพล์ แอพเหล่านี้จะแอบดึงข้อมูลในเครื่องผู้ใช้ แล้วส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์
จากการวิเคราะห์ของ Palo Alto Networks พบว่ามีแอพบน App Store จำนวน 39 ตัวได้รับผลกระทบ การแก้ปัญหาคงต้องรอนักพัฒนาแอพแต่ละตัวอัพเดตเวอร์ชันใหม่เท่านั้น มัลแวร์แบบนี้แสดงให้เห็นว่าผู้ใช้ป้องกันตัวเองยากมาก เพราะทุกตัวเป็นแอพจริงที่ถูกยัดไส้มาตั้งแต่ตอนคอมไพล์ (และนักพัฒนาเองก็ไม่ทราบเรื่อง) รวมถึงกระบวนการตรวจสอบแอพของแอปเปิลก็ไม่สามารถตรวจพบได้ง่ายๆ เช่นกัน
โปรแกรมเมอร์ไทยควรใช้เรื่องนี้เป็นกรณีศึกษา และใช้งาน Xcode จากเซิร์ฟเวอร์ของแอปเปิลเท่านั้น
ที่มา - Palo Alto Networks
Comments
Baidu อีกแล้ว!!!
เก่งมาก ... ไม่ธรรมดา
แบบนี้ แอพอะไร ๆ ก็เป็นมัลแวร์ได้ ถ้านักพัฒนาจงใจ ...
เจอ Baidu เข้าไป มือถือค่ายไหนก็ไม่รอดพ้นเงื้อมมือ...
ถ้าไม่ใช่ Baidu ยังไงก็ไม่ใช่ Baidu
ถถถถถถถถถถ เลี่อนมาเจอ สะอึกเลยครับ
เม้นบนๆBaidu ในรูปแค่เป็นเว็บฝากไฟล์ เป็น mirror เฉยๆ คนที่เอาไฟล์ไปฝากไว้ต่างหากครับที่เป็นคนฝังมัลแวร์
^
^
that's just my two cents.
จริงด้วยแฮะ ถ้า Baidu ทำก็คงไม่เอามาฝากไว้บนเว็บตัวเองให้โดนด่าแน่ๆ
ก็ยังไม่มีข้อพิสูจน์นะครับว่าเว็บฝากจะไม่ได้ฝัง ขนาด sourceforge ก็ยังมีปัญหานี้เลยนะครับ
จริง ขำแป๊บ ไม่คิดว่าคนในเว็บนะจะขาดความเฉลียวใจขนาดนี้นะ :-P
โหดมากกกกกก
ที่สงสัยคือบริษัทอย่าง Tencent มีปัญหาเรื่องเน็ตที่จะใช้ในการดาวน์โหลด Xcode จนต้องไปโหลดจาก mirror เลยเหรอ
แอบดึงข้อมูลในเครื่องข้อมูล ?
ไมเค้าไม่โหลดผ่าน AppStore อ๊ะ..
ก็ไฟล์มันขนาด 3.6GB โหลดผ่าน App Store ก็ต้องออกลิงค์ต่างประเทศซึ่งช้ากว่าลิงค์ในประเทศ กว่าจะโหลดเสร็จก็นาน เขาเลยโหลดผ่าน mirror ในประเทศไงครับ เจอแบบนี้คงจะเข็ดกันไปอีกนาน
คงไม่ต่างอะไรกับตอนอัพ iOS 9 ในไทยครับ คือพวกแรกๆ ตอนที่ ISP ยังไม่ทำ cache นี่ช้ามาก โหลดกันขาม inter ไม่ผ่าน cache ของ ISP วิ่ง 90KB/s ต้องปล่อยรอสักครึ่งชั่วโมงถึงจะอัพวิ่งระดับ 1MB/s ได้ คือเส้น inter มันเป็นคอขวดกันอยู่แล้วทุกประเทศแหละ อยู่ที่ว่าในประเทศจะมีระบบรองรับเรื่องพวกนี้ยังไง
อันนี้ไม่ค่อยแปลกใจเท่าไหร่ คือฝั่งคนใช้ Mac นี่เจอคนใช้ Anti Virus หรือ Anti Malware น้อยมาก พอโดนโปรแกรมสอดไส้แบบนี้เผลอให้ permission ลงพวกก็ allow เข้าไป แทบจะจบทันที ลาก่อย แน่นอนว่าอันนี้ในจีนที่เค้าโหลด mirror เพราะ link ระหว่างประเทศมันช้า เลยสอดไส้กันได้ง่าย ><"
จริงๆ ในไทยเราก็มี mirror อะไรคล้ายๆ แบบนี้อยู่ ถ้าใครเคยโหลด linux package/distro นี่จะรู้ว่ามีการใช้ hash พวก sha1sum, md5sum ช่วยในการเช็คการปลอมปนของแอพ เลยสบายหน่อย แต่ในกรณีนี้ดูเหมือนไม่มีให้เช็ค (หรือไม่ได้เช็ค) เลยรั่วกระจายกันแบบนี้ ><"