התולעת שבתפוח: חנות אפל נפרצה, הודבקה בווירוסים
האקרים הכניסו עשרות עד מאות אפליקציות לחנות האפסטור, בהן קוד זדוני שגונב סיסמאות iCloud ומידע אחר. האפליקציות הנגועות אותרו והוסרו, ביניהן גרסה של WeChat. כך תגלו האם המכשיר שלכם בסכנה - ומה ניתן לעשות בעניין
המתקפה, שלפי כמה הערכות הביאה להחדרת כ-350 אפליקציות עם קוד זדוני לאפסטור, היא הראשונה מסוגה שסופגת חנות האפליקציות של אפל. קודם לכן, לאורך שבע שנות קיומה, זוהו רק חמישה מקרים שבהם עלו לאפסטור אפליקציות זדוניות.
דבר המתקפה נחשף בשבוע שעבר על ידי כמה חברות אבטחת מידע. בפוסט שפרסמה דיווחה חברת פאלו אלטו. שזיהתה גרסה פרוצה של Xcode, תוכנת הפיתוח של אפל ל-OS X ול-iOS, שמחדירה לאפליקציות שמפותחות באמצעות קוד זדוני. מפתחים, רובם ככולם בסין, הורידו את הגרסה הפרוצה, שהועלתה לשירות שיתוף הקבצים של באידו, ופיתחו באמצעותה אפליקציות מבלי לדעת שלתוצר הסופי מוחדר קוד זדוני.
קוד זה אפשר להאקרים להעביר פקודות למכשירים ולשאוב מהם מידע. בין השאר יכולים האקרים ליצור חלון בקשה מזויף (למשל, כזה שמבקש להתחבר מחדש לשירות iCloud) כדי לגנוב את שם המשתמש והסיסמה של הקרבן; לחטוף כתובות אינטרנט מסוימות כדי להוביל את המשתמש לאתרים נגועים שמנצלים פריצות במערכת ההפעלה; ולקרוא מידע שהמשתמש מעתיק בפעולת קופי. לפי דיווחים, התוקפים כבר ניצלו לפחות אחת מהיכולות האלו על מנת לגנוב מידע ממשתמשים.
פאלו אלטו זיהתה 39 אפליקציות זדוניות שפותחו באמצעותXcodeGhost, הועלו לאפסטור והצליחו לעבור את הליך הסינון של אפל. מנגד, חברת האבטחה הסינית Qihoo360 Technology, דיווחה שחשפה 344 אפליקציות עם קוד זדוני.
בין הנגועות: ענקית הצ'ט WeChat
מרבית האפליקציות שנפגעו פונות לקהל הסיני, אך ביניהן יש גם כמה מהאפליקציות הפופולריות בעולם לפי מספר משתמשים. אלו כוללות את WeChat, אחת מהאפליקציות המסרים המידיים הפופולריות באפסטור; Didi Chuxing, שירות הזמנת הנסיעות הגדול בסין; Railway 12306, האפליקציה הרשמית לרכישה כרטיסי רכבת בסין; אפליקציה של ספקית הסלולר הגדול Unicom Mobile; ו-Tonghuashun, אפליקציית מסחר במניות נפוצה מאוד בסין.
אפליקציות נגועות אחרות זוכות לפופולריות גם מחוץ לסין, למשל CamCard, אפליקציה לסריקת כרטיסי ביקור שנחשבת לפופולרית מסוגה במדינות רבות, ובהן גם ארה"ב. רשימה מלאה האפליקציות שזוהו עלי ידי פאלו אלטו ניתן לראות בקישור זה. ואולם, ככל הנראה שנפרצו (והוסרו) אפליקציות נוספות.
לא ברור מה הייתה המוטיבציה של המפתחים להוריד גרסה פרוצה, שכן אפל מפיצה את Xcode ללא תשלום. עם זאת, בפאלו אלטו מעריכים שהבחירה בתוכנה הפרוצה, שמכונה XcodeGhost, קשורה למהירויות הגלישה בסין. “לפעמים הגלישה איטית מאוד כשמורידים קבצים גדולים מהשרתים של אפל", נכתב בפוסט שפירסמה החברה. “מכיוון שקובץ ההתקנה של Xcode הוא כמעט שלושה גיגה-בייט, כמה מפתחים בסין בחרו להוריד את התוכנה ממקורות אחרים או לקבל עותקים מעמיתים".
אתמול אישרה אפל את קיומה של המתקפה. “הסרנו מהאפסטור את האפליקציות שנוצרו באמצעות התוכנה המזויפת", נמסר מהחברה לכלי תקשורת בארה"ב. “אנחנו עובדים עם מפתחים כדי לוודא שהם משתמשים בגרסה הנכונה של Xcode כדי לבנות מחדש את האפליקציות שלהם".
חנות מאובטחת? נגמרה החגיגה
אפל לא מסרה כמה אפליקציות נגועות היא זיהתה והסירה. בנוסף, החברה גם לא מסרה באילו צעדים היא נוקטת על מנת לסייע למשתמשים שנפגעו, או איך משתמשים אלו יכולים להגן על עצמם. לאפל יש יכולת להשבית מרחוק אפליקציות שמותקנות על מכשירי משתמשים. עד עתה לא עשתה החברה שימוש ביכולת בעייתית זו, ואולם המקרה הנוכחי נראה כמו הזדמנות פז לעשות זאת.
המודל של האפסטור, שדרש אישור של אפל לכל אפליקציה או עדכון, עבד בצורה טובה למדי בכל הנוגע לסוגיות אבטחת מידע. רק במקרים נדירים מאוד הצליחו מפתחים להחדיר אפליקציות עם קוד זדוני, וגם נזקן של אלו היה מוגבל ביותר. אפל הצליחה, במשך שנים, ליצור מרחב בטוח שבו משתמשים יכולים להוריד אפליקציות בלי חשש לגניבה זדונית של המידע האישי שלהם.
בכך, המצב באייפון ובאייפד היה שונה משמעותית מבקרב מכשירי אנדרואיד שנחשבים לחשופים יותר ליישומים זדוניים, הן בגלל המודל הפתוח יותר של גוגל Play והן בגלל היכולות להתקין אפליקציות שגם לא דרך החנות הרשמית. בשעה שמשתמשי אנדרואיד סבלו שוב ושוב מנזקן של אפליקציות זדוניות, משתמשי iOS חיו בבטחה יחסית.
המקרה הנוכחי ישנה כנראה את המצב. מעתה, לא ניתן יהיה להתייחס לאפסטור כמרחב מוגן אבסולוטית, וגם אפליקציות מחברות מוכרות ואמינות צריכות לזכות מעתה ליחס ספקני. מפתחי XcodeGhost הוכיחו שניתן לשבור את ההגנות של אפל בצורה רחבה ועמוקה, ואפשר להניח שהם לא יהיו האחרונים לעשות זאת. עכשיו, מרגע שהודגם שניתן לפרוץ את הסכר, עלול להגיע השיטפון.
איך אפשר לדעת אם המכשיר שלי נגוע?
בהתחשב במידע המצומצם שפורסם על המתקפה והיישומים, אין עדיין המלצות קונקרטיות. ואולם, אם לא הורדתם אפליקציות שפותחו על ידי חברות סיניות, כנראה שהמתקפה הנוכחית לא תשפיע עליכם.
אם אתם לא בטוחים לגבי המקור של חלק מהיישומים שמותקנים על המכשיר שלכם, מומלץ להיכנס לאפסטור ולבדוק האם האפליקציה עדיין מופיעה שם וזמינה להורדה. אם לא, מומלץ להסיר אותה מיד ולבדוק את הנושא לעומק באתר החברה המפתחת. אם אינכם בטוחים בנוגע לאפליקציה מסוימת, כדאי להסיר אותה ליתר ביטחון (תמיד תוכלו להתקין אותה מחדש בעתיד).
בנוסף, יש לשים לב לכל התנהגות חשודה או יוצאת דופן של המכשיר או של חשבונות משתמש שונים. בעבודה השוטפת האייפון שלכם לא יבקש ממכם להזין את סיסמת חשבון האייקלאוד שלכם (בד"כ יש להזין את הסיסמה רק אחרי התקנת גרסה מעודכנת של מערכת ההפעלה או בעת רכישה באייטיונס או באפסטור), ויש להתייחס לבקשות אלו בחשדנות רבה. אם אתם מזהים התנהגות חשודה בחשבונות משתמש, ובפרט אי יכולת להיכנס לחשבון, יש סיכוי סביר שהחשבון נפרץ ומומלץ לפנות במיידית לספקית השירות הרלוונטי.