Szeptemberben onnan érte támadás az iOS-es eszközök használóit, ahonnan a legkevésbé várták. Az App Store alaposan ellenőrzött alkalmazásai között több ezer olyan találtak, amely alkalmas volt károkozásra. A bűnös az Xcode programfejlesztő csomag egy manipulált változata volt, amely az alkalmazásokba olyan funkciókat tett – a fejlesztő tudta nélkül –, amik adatlopásra is alkalmasak voltak.

Az Apple gyorsan reagált, egyrészt eltávolította a fertőzött alkalmazásokat az alkalmazásboltból, másrészt – mivel az XcodeGhost-nak nevezett buherált fejlesztő eszköz főleg Kínában terjedt – bejelentette, hogy a távol-keleti országban is közvetlenül letölthetővé tette a fejlesztőeszközét.

Nem tűnt el, csak átalakult

A FireEye most azt derítette ki, hogy bár kisebb intenzitással, az XcodeGhost továbbra is aktív, sőt fejlődött. Elsősorban vállalati felhasználókat és oktatási intézmény hálózatait veszélyezteti. A biztonsági cég szerint több mint kétszáz nagyvállalat küzd a kártékony kóddal. Bár a problémák zöme továbbra is Kínában jelentkezik, Németországban és az Egyesült Államokban is belefutott már több nagyvállalat – írta a Biztonságportál.

Az XcodeGhost legújabb variánsa ráadásul az iOS 9-es készülékeket is képes megfertőzni. Az alapverzió erre azért nem volt alkalmas, mert az Apple legújabb operációs rendszere alapból tiltja az alkalmazásoknak a HTTP kommunikációt távoli szerverekkel. Az eredeti XcodeGhost viszont így kommunikált a vezérlőszervereivel. A károkozó új variánsa azonban egy pofonegyszerű trükkel kerüli meg az iOS 9 korlátozását: hozzáadja saját magát a kivételek listájához. Onnantól pedig akadálytalanul kommunikál HTTP-n is.

A felhasználókat nem érdekli?

A FireEye szerint ráadásul a felhasználók nagy ívben tesznek az alap biztonsági követelményekre. Hiába jelentek meg ugyanis a kompromittált alkalmazások biztonságos frissítései, azokat sokan egyszerűen nem telepítették.

Bár az érintett vállalatok jellemzően letiltották azoknak a domaineknek az elérését a belső rendszereikből, amelyeket összefüggésbe lehetett hozni az XcodeGhosttal, az csak addig ér valamit, amíg a felhasználók a vállalati átjárókon keresztül kapcsolódnak az internethez a saját mobiljukkal. Ha viszont más úton, akkor az intézkedés mit sem ér. Ráadásul az XcodeGhost legújabb variánsának már feketelistás szűrésre is megvan az ellenszere: dinamikusan képes generálni a vezérlőszervekhez tartozó domainneveket.