impatto e rimozione di XcodeGhost

1

Sfortunatamente, ho installato alcune delle app menzionate in questo elenco e ho confermato che le versioni che ho sono ancora compromesse da XcodeGhost: http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios- apps-incluso-wechat-colpisce-centinaia-di-milioni-di-utenti /

Certo, li ho immediatamente rimossi. Ma ciò di cui mi preoccupo è se sono riusciti a nascondere il virus in qualsiasi altra parte del sistema? L'articolo non affronta esplicitamente questo aspetto, ma il virus è riuscito a uscire dal sandboxing iOS?

Inoltre, qualcuno sa se le app infette hanno raccolto qualcos'altro oltre a quelli già segnalati da Palto Alto Networks ?, ad esempio testi, informazioni di contatto, ecc.?

Ora corrente Nome dell'applicazione infetta corrente Identificatore di bundle dell'app Nome e tipo del dispositivo corrente Lingua e paese del sistema corrente Tipo di rete UUID del dispositivo corrente

Qui è già stato segnalato che il malware phishing per le password di iCloud: http://researchcenter.paloaltonetworks.com/2015/09/update-xcodeghost-attacker-can-phish-passwords-and-open-urls-though-infected-apps /

ios  security  xcode  malware 
user150951
fonte
Sembra che il "phishing" sia pura speculazione e non c'è motivo di pensare che ne sia capace. Ho aggiornato la mia risposta con una dichiarazione ufficiale di Apple.
bmike

Risposte:

1

Dal momento che non stai chiedendo di OSX (che dovrebbe essere una domanda separata), mi concentrerò sulle ramificazioni di iOS. Le app create dal programma di installazione Xcode dannoso possono essere ripulite eliminando le app.

Il sandbox iOS non è stato compromesso, solo che il team di revisione dell'app non ha notato il cattivo comportamento dell'app.

Quello che hai fatto eseguendo una "app iOS infetta" è stato far conoscere ai malvagi l'UDID del tuo dispositivo e probabilmente l'indirizzo IP che il tuo dispositivo aveva quando ha eseguito l'app e si è auto-riferito.

Non ci sono segnalazioni per dire che il sandbox iOS sia stato compromesso, quindi nessuna email, nessun testo, nessuna password è stata compromessa.

Apple ha rilasciato la conferma che il codice non ha potuto compromettere iCloud e non ha fatto trapelare nulla tranne che per il più generale "un telefono anonimo ha eseguito questo ping di app" che avrebbe bisogno di molte informazioni corroboranti per essere un rischio per chiunque a meno che non ci fossero molte circostanze attenuanti .

Come mi influenza? Come faccio a sapere se il mio dispositivo è stato compromesso?

Non abbiamo informazioni che suggeriscano che il malware sia stato utilizzato per fare qualcosa di dannoso o che questo exploit avrebbe fornito informazioni di identificazione personale se fosse stato utilizzato.

Non siamo a conoscenza del fatto che i dati dei clienti identificabili personalmente siano interessati e il codice non ha avuto la possibilità di richiedere le credenziali dei clienti per ottenere iCloud e altre password di servizio.

Non appena abbiamo riconosciuto che queste app utilizzavano codice potenzialmente dannoso le abbiamo eliminate. Gli sviluppatori stanno aggiornando rapidamente le loro app per gli utenti.

Il codice dannoso avrebbe potuto solo fornire alcune informazioni generali come le app e le informazioni generali sul sistema.

Vedi https://archive.is/PWqMV (copia archiviata del link non funzionante https://www.apple.com/cn/xcodeghost/#english ) per la dichiarazione completa di Apple che include un elenco delle app interessate.

(Bene, un elenco di 25 di> 4000 app interessate e la dichiarazione ovviamente falsa, dato che il link ora è morto, "Aggiorneremo questa pagina con ulteriori informazioni non appena saranno disponibili.")

bmike
fonte
Se avesse nascosto le password negli Appunti, l'attaccante avrebbe potuto ottenerle.
iProgram
Se l'OP ha ricevuto una richiesta fasulla e immesso le credenziali, è stato phishing. la domanda è un po 'un casino. La rimozione dovrebbe essere una domanda. L'impatto dovrebbe essere un altro. Pensi di modificarlo per essere così @iProgram?
bmike
Sì, la domanda è piuttosto lunga, ma ho pensato che fossero tutti legati all'entità del danno. Ad esempio, se il malware fosse in qualche modo in grado di violare la sandbox e influire su cose come i messaggi di testo, suppongo che rimuoverlo non sarebbe semplice come eliminare semplicemente le app interessate. Ma è bello sapere che non è successo e la rimozione dell'app fermerà ulteriori danni.
user150951
@ user150951 Tutti i fatti e le informazioni che sono stato in grado di raccogliere erano che il "phishing" era teorico e congetturale e non alcuna analisi rigorosa del codice che era stato iniettato in questione. Apple ha il codice e non sta schivando il problema AFAIK. Sono impressionato dalla velocità di azione, trasparenza e condivisione aperta delle informazioni di Apple su questo.
bmike
apple.com/cn/xcodeghost/#english è un link non funzionante. Sostituzione con archive.is/PWqMV
Matthew Elvey,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.