El vector de ataque en esta ocasión es diferente: en lugar de crear aplicaciones que incluyen malware, los atacantes modificaron las herramientas de desarrollo oficiales de Apple para distribuirlas a través del servicio de archivos en la nube Baidu, de donde fueron descargadas por algunos desarrolladores Chinos. Así, conforme estos desarrolladores compilaron aplicaciones con estas herramientas de desarrollo infectadas, infectaron también sus aplicaciones que pasaron el proceso de revisión de código en la Apple Store lo que permitió que los usuarios instalaran nuevas aplicaciones o actualizaciones de esas aplicaciones infectadas.
EL problema afecta tanto a dispositivos de serie como a aquellos a los que se ha hecho Jailbreak que descargaron esas aplicaciones desde la App Store. Hay una lista de al menos 50 aplicaciones infectadas entre las que se incluyen WeChat, NetEase Cloud Music, WinZip, Didi Chuxing, Railway 12306, China Unicom Mobile Office y Tonghuashun.
XcodeGhost afecta potencialmente hasta a 500 millones de usuarios de iOS, debido a que la aplicación WeChat es muy popular en China y en toda la región Asia-Pacífico.
Las versiones de Xcode afectadas están entre Xcode 6.1 y 6.4.
Las aplicaciones infectadas pueden recopilar información sobre los dispositivos, cifrarla y subirla a un servidor de mando y control vía Http. La información recopilada incluye:
- La hora
- El nombre dela aplicación infectada
- El identificador del paquete de la App
- El nombre del dispositivo y su tipo
- El idioma y país
- La UUID del dispositivo
- El tipo de red que está utilizando
Palo Alto Networks ha descubierto también que las aplicaciones infectadas pueden recibir órdenes desde los servidores de mando y control para realizar las siguientes acciones:
- Mostrar un cuadro de diálogo falso para robar las credenciales del dispositivo
- Modificar la apertura de ciertas URL basándose en el esquema, lo que permitiría la explotación de vulenrabilidades de iOS o de aplicaciones
- Leer y escribir el portapapeles, lo que facilitaría la extracción de una contraseña copiada desde una aplicación de gestión de contraseñas
El problema alrededor de estas aplicaciones infectadas es que usuarios de cualquier parte del mundo pueden verse afectados al descargar la aplicación o una actualización malformada con la versión infectada de Xcode. Los desarrolladores chinos descargaron esta versión infectada de Xcode desde los servidores de Baidu debido a que cuesta mucho tiempo descargar la versión oficial de Xcode desde Apple.
Palo Alto Networks está colaborando con Apple en el problema, y además muchos desarrolladores han actualizado sus aplicaciones para retirar el malware. Apple ha hecho unas declaraciones a Reuters indicando que la compañía ha retirado las aplicaciones que saben que han sido creadas por XcodeGhost y están trabajando con los desarrolladores para asegurarse que están utilizando la versión de Xcode adecuada para reconstruir sus aplicaciones.
Los usuarios, por su parte, deberían desinstalar cualquiera de las aplicaciones de la lista en sus dispositivos o actualizar a una nueva versión que no porte el malware asociado. El cambio de contraseñas, incluida la de iCloud, es una medida de seguridad adicional altamente recomendable.
Vía Macrumors
Vamos apañaoooossss. Cada vez más cositas. Sabemos que nadie es perfecto y más en un sistema operativo. Pero Apple que le pone tan exquisito cuidado en sus historias podría ponerle un poco más a los temas de seguridad. Windows es un coladero pero OS X, IOS es unix (1969) en la base que ya lleva mucho tiempo dicho sistema como para poder depurar estas historias y creo que deberían poner especial cuidado en temas de seguridad. Amigos hemos entrado en la mira de los Hackers no éticos.
Inaceptable, simplemente inaceptable. Actualmente la App Store ingresa un porcentaje altísimo para Apple. Qué menos que gasten lo necesario en el proceso de aprobar una app.
Dices “aparecen”, como si fuera por arte de magia….
He repasado la lista, y salvo WeChat (que tampoco es de las más usadas, creo yo), muy probablemente el resto afecte a muy pocos usuarios españoles.
Genial entonces!!! Ironic Mode=On
Angry Birds 2. Oh, Shit.
Cuidado que Rovio ya ha dicho que tienen sospechas sobre la aplicación publicada en la tienda de China (y otros países que utilizan la misma tienda), pero no en el resto de tiendas donde es 100% segura la aplicación.