Những ngày đầu tuần vừa qua, cả cộng đồng nhà Táo rúng động trước thông tin: có một malware trên iOS tên là XcodeGhost đang làm mưa làm gió trên App Store. XcodeGhost xuất phát từ một địa điểm mà mình nghĩ là chúng ta chẳng lấy gì làm xa lạ: Trung Quốc. XcodeGhost lan truyền với một tốc độ chóng mặt và nó đã gây bất ngờ khi có thể vượt qua sự kiểm soát gắt gao của Apple trên App Store, trước giờ rất ít malware có thể làm được như thế này. Vậy thì XcodeGhost là gì mà nó lại nguy hiểm đến như vậy?. Cách phòng chống ra sao?. Xin mời bạn cùng mình tìm hiểu qua bài viết nhé.
https://blog.lookout.com/wp-content/uploads/2015/09/IMG_4512.png
XcodeGhost là gì?
Trước tiên ta phải nhắc đến tiền thân của XcodeGhost là Xcode. Xcode hiện đang là một IDE (Integrated Development Environment – Môi Trường Phát Triển Tích Hợp) của Apple, nó bao gồm một bộ các công cụ phát triển phần mềm cho OS X và iOS. Nó được ra mắt lần đầu tiên vào năm 2003 và phiên bản ổn định mới nhất cho đến thời điểm hiện tại là 7.0. Xcode là miễn phí, các lập trình viên có thể download về máy và sử dụng.
Quay trở lại vấn đề chính của chúng ta. XcodeGhost là một phiên bản Xcode bị nhiễm malware của Trung Quốc.
XcodeGhost lây nhiễm như thế nào?
Một phiên bản Xcode bị lây nhiễm malware đã được upload lên dịch vụ lưu trữ đám mây Baidu và các lập trình viên ở Trung Quốc đã download tại đây vì kết nối từ Trung Quốc đến server của Apple tại Mỹ rất chậm. Họ không biết rằng phiên bản Xcode đã bị lây nhiễm nên cứ vô tư sử dụng nó để viết ứng dụng, kết quả là nhiều ứng dụng bị lây nhiễm đã lan truyền trên App Store. Những ứng dụng đó đã vượt qua được sự kiểm tra gắt gao của App Store và người dùng cứ thế cài đặt vào thiết bị của mình.
XcodeGhost khai thác các đường dẫn mặc định đến khung hệ thống của Xcode và đã lây nhiễm sang rất nhiều ứng dụng trên App Store. Các ứng dụng bị lây nhiễm có thể liệt kê như sau: WeChat, NetEase Cloud Music, WinZip, Didi Chuxing, Railway 12306, China Unicom Mobile Office, Tonghuashun. Một khi người dùng cài đặt các ứng dụng này vào thiết bị của mình, XcodeGhost sẽ lấy các thông tin cá nhân của họ rồi upload dữ liệu đó lên các server điều khiển từ xa ở Trung Quốc. Các loại dữ liệu này bao gồm:
-
Thời gian hiện tại của thiết bị.
-
Tên của ứng dụng bị lây nhiễm hiện tại.
-
Mã nhận diện của ứng dụng.
-
Tên hiện tại và loại hình của thiết bị đã bị lây nhiễm.
-
Ngôn ngữ hệ thống và quốc gia mà thiết bị đó đang sử dụng.
-
Mã nhận diện của thiết bị.
-
Loại hình mạng Internet.
Những hành động cụ thể mà XcodeGhost sẽ tiến hành là:
-
Hiện ra một thông báo giả để đánh lừa người dùng.
-
Dẫn người dùng đến bất kì một URL giả mạo nào đó đã được sắp đặt từ trước để khai thác các lỗ hổng trong hệ thống và trên các ứng dụng của iOS.
-
Đọc và ghi dữ liệu trong clipboard. Nếu người dùng copy và paste các password của mình thì khả năng bị mất gần như là 100%.
Các thiết bị chạy iOS (iPhone, iPad, iPod) cho dù có jailbreak hay chưa thì vẫn sẽ bị nhiễm malware này.
Một điều khá quan trọng nữa là người dùng không ở Trung Quốc vẫn có thể bị nhiễm malware này thông qua các ứng dụng phổ biến, một trong số đó là WeChat (phần lớn lượng người dùng của WeChat tập trung ở khu vực Châu Á – Thái Bình Dương).
Động thái của Apple đối với XcodeGhost
Sau khi phát hiện ra malware cực kì nguy hiểm nói trên, Apple đã lập tức ra tay giải quyết. Họ trả lời phỏng vấn trang Reuters như sau: “Chúng tôi đã lập tức gỡ bỏ các ứng dụng bị lây nhiễm trên App Store. Hiện tại chúng tôi cũng đang phối hợp với các lập trình viên để đảm bảo rằng họ sử dụng đúng phiên bản Xcode cho các ứng dụng trong tương lai”.
Cách người dùng tự bảo vệ mình trước XcodeGhost
Nếu các ứng dụng sau xuất hiện trên máy bạn thì lập tức gỡ ra luôn và ngay nhé:
网易云音乐 2.8.3
微信 6.2.5
讯飞输入法 5.1.1463
滴滴出行 4.0.0.6-4.0.0.0
滴滴打车 3.9.7.1 – 3.9.7
铁路12306 4.5
下厨房 4.3.2
51卡保险箱 5.0.1
中信银行动卡空间 3.3.12
中国联通手机营业厅 3.2
高德地图 7.3.8
简书 2.9.1
开眼 1.8.0
Lifesmart 1.0.44
网易公开课 4.2.8
马拉马拉 1.1.0
药给力 1.12.1
喜马拉雅 4.3.8
口袋记账 1.6.0
同花顺 9.60.01
快速问医生 7.73
懒人周末
微博相机
豆瓣阅读
CamScanner
CamCard
SegmentFault 2.8
炒股公开课
股市热点
新三板
滴滴司机
OPlayer 2.1.05
电话归属地助手 3.6.5
愤怒的小鸟2 2.1.1
夫妻床头话 1.2
穷游 6.6.6
我叫MT 5.0.1
我叫MT 2 1.10.5
自由之战 1.1.0
Mercury
WinZip
Musical.ly
PDFReader
guaji_gangtai en
Perfect365
网易云音乐
PDFReader Free
WhiteTile
IHexin
WinZip Standard
MoreLikers2
CamScanner Lite
MobileTicket
iVMS-4500
OPlayer Lite
QYER
golfsense
同花顺
ting
installer
下厨房
golfsensehd
Wallpapers10000
CSMBP-AppStore
礼包助手
MSL108
ChinaUnicom3.x
TinyDeal.com
snapgrab copy
iOBD2
PocketScanner
CuteCUT
AmHexinForPad
SuperJewelsQuest2
air2
InstaFollower
CamScanner Pro
baba
WeLoop
DataMonitor
爱推
MSL070
nice dev
immtdchs
OPlayer
FlappyCircle
高德地图
BiaoQingBao
SaveSnap
WeChat
Guitar Master
jin
WinZip Sector
Quick Save
CamCard
Như các bạn có thể thấy, đa số toàn là ứng dụng của Trung Quốc. Nếu bạn đang dùng ứng dụng đó cho công việc thì bạn có thể update lên phiên bản mới hơn. Reset password của iCloud và bất kì password nào có trên thiết bị của bạn cũng là một cách được khuyên dùng.
Và nếu bạn là một lập trình viên iOS thì chỉ nên tải Xcode từ trang chủ của Apple nhé, đừng tải ở các nguồn không xác định: https://developer.apple.com/xcode/download/
[RIGHT]Hạ Thiên
(Thông tin: MacRumors 1, MacRumors 2, Wikipedia)
(Hình ảnh: Google)[/RIGHT]