Hiába a gyors reakció, akár százmilliókat – főleg kínai felhasználókat – is érinthet az App Store-botrány. Mint azt sok lap megírta, egy sor olyan mobil alkalmazást találtak az Apple alkalmazásboltjában, amely károkozásra is alkalmas volt.

Az eset azért vert nagy port, mert az almás cég kínosan ügyel arra, hogy megakadályozza az ilyen incidenseket. Az App Sotre-ba kerüléshez az alkalmazásoknak egy sor ellenőrzésen kell átesniük, míg megkapják az engedélyt. Az ellenőrzési mechanizmusok komoly erőforrásokat kötnek le: nemcsak automatizált procedúrák vannak, hanem szakemberek is dolgoznak az ellenőrzésen. Nem véletlen, hogy nagyságrendekkel kevesebbszer kerül fertőzött, veszélyes termék az App Store-ba, mint például a Google Playbe. A különös szigor miatt egyelőre érthetetlen is, hogyan csúszhattak át az ellenőrzési procedúrán a fertőzött programok. Magyarázattal egyelőre az Apple sem szolgált.

Az is habosította a botrányt, hogy eddig nem volt olyan probléma, amely az App Store-ból letölthető alkalmazások biztonságát vonta volna kétségbe. A közelmúltban publikált KeyRaider-támadás például kizárólag a jailbreakelt Apple-eszközöket veszélyeztette.

Mindig van leggyengébb láncszem

Bár a biztonsági cégek a "nincs tökéletes biztonság" szellemében jó ideje mantrázták, hogy az Apple platformja és alkalmazásboltja sem sebezhetetlen, a felhasználó alapvetően biztonságban érezhette magát. Eddig.

A támadóknak ugyanis sikerült egy egyszerű, de remek testcsellel átverni az Apple Store többszörös védelmi vonalát – írta a Biztonságportál. Nem az agyonellenőrzött alkalmazásokon keresztül juttattak be kártékony kódokat az alkalmazásboltba, hanem az alkalmazások fejlesztéséhez használt Xcode programfejlesztő csomagot manipulálták, amelynek a módosított verziója megjelent a kínai Baidu szerverein.

Bár sok helyen leírták, röviden összefoglaljuk, mi is történt valójában.

Az Xcode-ot a legtöbb fejlesztő közvetlenül az Apple szervereiről szokta letölteni. A kínai fejlesztők körében azonban divattá vált, hogy más, elsősorban kínai kiszolgálókról, főleg a Baidu szervereiről töltötték le a fejlesztőeszközt, amelyekre a kompromittált Xcode is felkerült. (A módosított eszközt azóta persze eltávolították.)

Ha egy fejlesztő ezt a manipulált fejlesztőeszközt használta, az az új vagy módosított mobilos alkalmazásokba automatikusan olyan kódokat illesszen be, amik alkalmasak a felhasználók megkárosítására. Ráadásul olyan rafináltan dolgozott, hogy maguk a fejlesztők sem vették észre: programjaik az App Sotre-ba való publikálás után több funkcióval rendelkeznek, mint amit ők megvalósítottak.

Amikor a felhasználó egy ilyen "felturbózott" funkcionalitású alkalmazást telepített, a kártékony összetevők először összegyűjtöttek néhány adatot (aktuális rendszeridő, eszköznév, elérhető hálózatok listája stb.), majd időnként feldobtak olyan, egyébként a rendszerben alapból meglévőkre hasonlító ablakokat, amelyek például az Apple ID megadását kérték a felhasználótól.

A Palo Alto Networks – a vállalat kutatói bukkantak rá a cseles Xcode-ra – első körben mintegy 40 ilyen módszerrel fertőzött mobil alkalmazást talált, de azt is hozzátették, hogy akár ennek sokszorosa is lehet a fertőzött alkalmazások száma. Aztán pár nappal később már négyezernél járt a számláló, bár ezt már a FireEye jelentette.

A biztonság nem barátja a kényelemnek

A fertőzés kiterjedtségére csak becslések vannak. Nagy valószínűséggel azonban (száz)milliós nagyságrendről lehet szó. Megfertőződött például a Tencent rendkívül népszerű WeChat programja, amit eddig 600 millióan töltöttek le, azt azonban nem tudni, közülük hányan futottak bele a fertőzött változatba.

És hogy mi a tanulság? Voltaképpen csak az, hogy soha nem lehetünk biztonságban, mert a betonbiztos védelemben is lehetnek gyenge pontok. Ez ellen pedig csak odafigyeléssel lehet védekezni. Például úgy, hogy kérdezzen bármit is az eszközünk, mielőtt válaszolunk – megadunk egy jelszót, kódot stb. – mindig gondoljuk át, hogy az ott mihez is kell, miért került elő.

Hogy ez megakadályozza az önfeledt eszközhasználatot? Hát igen, arról le kell mondanunk. De ki mondta, hogy a biztonság és a kényelem karöltve járnak? És ez még az Apple-re is igaz, hiába helyezték Cupertinóban mindenek fölé a felhasználói élményt.

Az Apple most válságkezel. Folyamatosan távolítja el a veszélyes szoftvereket az alkalmazásboltjából, és lépéseket ígért, hogy a fejlesztők oldalán is csökkentse a kockázatokat. A kínai fejlesztők sokszor azért nem az Apple oldaláról töltötték le az Xcode-ot, mert külföldi szerverről ez nagyon nehézkes volt, nem kis részben a cenzúra miatt. A Nagy Kínai Tűzfal megkerülése ugyanis januártól még nehezebb lett, miután sikerült megoldani a  a VPN-ek (Virtual Private Network – virtuális magánhálózat) szűrését.

Az incidensnek annyi eredménye már van, hogy az Apple bejelentette, helyi szerverekről is elérhetővé teszi kínai fejlesztőknek az Xcode gyors letöltését.