App Store thường là một chợ ứng dụng đáng tin cậy do chính sách kiểm soát của Apple rất gắt gao, nhưng mới đây các hacker Trung Quốc đã sử dụng một bộ Xcode bị chỉnh sửa (XcodeGhost) để tạo nên các ứng dụng chứa malware và đưa nó lên App Store Trung Quốc. Các malware này sẽ thu thập thời gian hiện tại, tên và loại mạng của thiết bị người dùng. Mặc dù thông tin này không quá nghiêm trọng nhưng Apple cần siết chặt hơn nữa quy trình kiểm tra nhằm ngăn chặn tình huống nguy hiểm hơn.
Phần mềm iOS chứa malware trên App Store Trung Quốc được phát hiện lần đầu tiên bởi một lập trình viên trên trang mạng Weibo và sau đó được phân tích bởi một nhà nghiên cứu thuộc hãng thương mại điện tử Alibaba. Cuối cùng thì hãng nghiên cứu bảo mật Palo Alto Networks đã xác nhận điều đó là đúng.
Bộ công cụ Xcode bị chỉnh sửa được chia sẻ từ bên thứ 3
Cách làm của hacker là sử dụng bộ công cụ phát triển phần mềm Xcode của Apple. Thông thường thì lập trình viên sẽ tải miễn phí Xcode trực tiếp từ Apple. Tuy nhiên, một số diễn đàn lập trình đã chỉnh sửa bộ công cụ này và cung cấp cho người khác. Điển hình là bộ Xcode bị chỉnh sửa, thêm vào một số dòng lệnh và cung cấp bởi dịch vụ chia sẻ file Baidu Yunpan. Sau khi phân tích, nhà nghiên cứu bảo mật của Alibaba gọi đây là XcodeGhost.
Phần mềm iOS chứa malware trên App Store Trung Quốc được phát hiện lần đầu tiên bởi một lập trình viên trên trang mạng Weibo và sau đó được phân tích bởi một nhà nghiên cứu thuộc hãng thương mại điện tử Alibaba. Cuối cùng thì hãng nghiên cứu bảo mật Palo Alto Networks đã xác nhận điều đó là đúng.
Bộ công cụ Xcode bị chỉnh sửa được chia sẻ từ bên thứ 3
Cách làm của hacker là sử dụng bộ công cụ phát triển phần mềm Xcode của Apple. Thông thường thì lập trình viên sẽ tải miễn phí Xcode trực tiếp từ Apple. Tuy nhiên, một số diễn đàn lập trình đã chỉnh sửa bộ công cụ này và cung cấp cho người khác. Điển hình là bộ Xcode bị chỉnh sửa, thêm vào một số dòng lệnh và cung cấp bởi dịch vụ chia sẻ file Baidu Yunpan. Sau khi phân tích, nhà nghiên cứu bảo mật của Alibaba gọi đây là XcodeGhost.
Ứng dụng chứa mã độc trên App Store Trung Quốc
Sau khi được đưa lên App Store và tải về máy người dùng, những ứng dụng iOS được xây dựng từ XcodeGhost sẽ thu thập nhiều thông tin về thiết bị của họ bao gồm thời gian hiện tại, tên thiết bị, loại mạng đang dùng - trên lý thuyết thì các thông tin này không khả dụng để hacker thật sự xâm hại người dùng.
Một trong số những ứng dụng đã qua mặt sự kiểm soát của Apple là NetEase Cloud Music và theo Palo Alto Networks thì nó đã đạt gần 500 lượt đánh giá với mức sao trung bình là 4,5/5 sao. Đồng thời, họ xác nhận rằng có tổng cộng tới 20 ứng dụng đã bị nhiễm malware theo kiểu này trên App Store Trung Quốc: “Một số ứng dụng có nhiễm malware đang rất phổ biến và có tới hàng chục triệu lượt tải về máy."
Ai sẽ bị ảnh hưởng?
Chắc chắn là tất cả những người dùng iOS hoặc OSX có tải về các ứng dụng này sẽ bị ảnh hưởng. Tuy nhiên, nó chỉ xuất hiện trên App Store Trung Quốc nên người dùng tại các khu vực khác trên thế giới không cần phải lo lắng (miễn bạn đừng lập tài khoản App Store Trung Quốc và không tải ứng dụng đó về là an toàn)
Ngoài ra, bất kỳ lập trình viên nào đã tải về bộ Xcode không chính thức từ các nguồn ngoài luồng đều có thể bị ảnh hưởng và các ứng dụng mà họ phát triển từ đó cũng vậy. Mặt khác, các ứng dụng nội bộ tạo ra từ bộ XcodeGhost cũng sẽ bị ảnh hưởng do nó được cung cấp chủ yếu trong nội bộ doanh nghiệp mà không qua kiểm soát bảo mật của Apple. Dù vậy, theo chuyên gia nghiên cứu bảo mật Charlie Miller tại Uber thì “đây là một cuộc tấn công khá mờ nhạt."
Vấn đề sẽ được giải quyết như thế nào?
Bộ công cụ XcodeGhost là khởi nguồn cho các ứng dụng chứa mã độc trên App Store
Việc có ứng dụng chứa malware trên App Store đã dấy lên câu hỏi về cách mà các ứng dụng này có thể qua mặt được quy trình kiểm soát của Apple để phát hành. Nhà nghiên cứu Miller cho biết: “Bạn có thể hoàn toàn tin tưởng nhà phát triển ứng dụng, và nhà phát triển đó có thể hoàn toàn đáng tin cậy, nhưng trong trường hợp này thì phần mềm tạo ra ứng dụng đó không đáng tin."
Quảng cáo
Phía Apple hiện chưa có phản hồi nào về vấn đề trên. Còn về phía người dùng cuối chưa và đã tải các ứng dụng này? Miller cho rằng: “họ chỉ nên hơi quan tâm một chút. Tôi sẽ không quá lo lắng. Các ứng dụng chứa malwarre có vẻ không làm điều gì khiến ta khó chịu. Nếu chúng làm gì đó rõ ràng là xấu thì Apple đã phát hiện và loại bỏ nó."
Ông cho biết nếu ai đã lỡ tải các ứng dụng này về thì nên xóa nó nagy và tiếp tục theo dõi thông tin danh sách các phần mềm khác bị nhiễm. Cách bảo vệ tốt nhất là: Đừng tải về ngẫu nhiên ứng dụng từ các trang của Trung Quốc."
Tham khảo Wired, Palo Alto Networks