Tags:
Node Thumbnail

Palo Alto Networks รายงานมัลแวร์ตัวใหม่ชื่อ XcodeGhost จู่โจมแอพจีนชื่อดังหลายตัว ซึ่งรวมถึง WeChat เวอร์ชัน iOS ด้วย

XcodeGhost อาศัยช่องว่างที่ว่าไฟล์ Xcode ของแอปเปิลมีขนาดใหญ่ ต้องใช้เวลาดาวน์โหลดนาน นักพัฒนาในประเทศจีนจึงใช้วิธีดาวน์โหลดจาก mirror ในประเทศแทน ซึ่งทำให้แฮ็กเกอร์แก้แพ็กเกจของ Xcode โดยฝังมัลแวร์ลงไปด้วย (อยู่ในส่วน CoreServices)

Xcode เวอร์ชันฝังพิษจะแอบฝังโค้ดของตัวเองลงในแอพ iOS ตอนคอมไพล์ แอพเหล่านี้จะแอบดึงข้อมูลในเครื่องผู้ใช้ แล้วส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์

No Description

จากการวิเคราะห์ของ Palo Alto Networks พบว่ามีแอพบน App Store จำนวน 39 ตัวได้รับผลกระทบ การแก้ปัญหาคงต้องรอนักพัฒนาแอพแต่ละตัวอัพเดตเวอร์ชันใหม่เท่านั้น มัลแวร์แบบนี้แสดงให้เห็นว่าผู้ใช้ป้องกันตัวเองยากมาก เพราะทุกตัวเป็นแอพจริงที่ถูกยัดไส้มาตั้งแต่ตอนคอมไพล์ (และนักพัฒนาเองก็ไม่ทราบเรื่อง) รวมถึงกระบวนการตรวจสอบแอพของแอปเปิลก็ไม่สามารถตรวจพบได้ง่ายๆ เช่นกัน

โปรแกรมเมอร์ไทยควรใช้เรื่องนี้เป็นกรณีศึกษา และใช้งาน Xcode จากเซิร์ฟเวอร์ของแอปเปิลเท่านั้น

ที่มา - Palo Alto Networks

Get latest news from Blognone

Comments

By: LazarusSP1
ContributoriPhone
on 19 September 2015 - 08:40 #844428
LazarusSP1's picture

Baidu อีกแล้ว!!!

By: sp on 19 September 2015 - 08:42 #844430

เก่งมาก ... ไม่ธรรมดา

By: sp on 19 September 2015 - 08:46 #844432 Reply to:844430

แบบนี้ แอพอะไร ๆ ก็เป็นมัลแวร์ได้ ถ้านักพัฒนาจงใจ ...

By: LinkWii777-2
iPhoneAndroidWindowsIn Love
on 19 September 2015 - 08:46 #844433
LinkWii777-2's picture

เจอ​ Baidu เข้าไป​ มือถือ​ค่ายไหนก็ไม่รอดพ้นเงื้อมมือ...

By: wichate
Android
on 19 September 2015 - 08:50 #844435

ถ้าไม่ใช่ Baidu ยังไงก็ไม่ใช่ Baidu

By: pote2639
ContributoriPhoneWindows PhoneWindows
on 19 September 2015 - 19:13 #844527 Reply to:844435

ถถถถถถถถถถ เลี่อนมาเจอ สะอึกเลยครับ


I am Death incarnate!

By: kswisit
ContributoriPhoneAndroidIn Love
on 19 September 2015 - 09:19 #844438

เม้นบนๆ
Baidu ในรูปแค่เป็นเว็บฝากไฟล์ เป็น mirror เฉยๆ คนที่เอาไฟล์ไปฝากไว้ต่างหากครับที่เป็นคนฝังมัลแวร์


^
^
that's just my two cents.

By: wichate
Android
on 19 September 2015 - 09:41 #844441 Reply to:844438

จริงด้วยแฮะ ถ้า Baidu ทำก็คงไม่เอามาฝากไว้บนเว็บตัวเองให้โดนด่าแน่ๆ

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 19 September 2015 - 11:01 #844453 Reply to:844438

ก็ยังไม่มีข้อพิสูจน์นะครับว่าเว็บฝากจะไม่ได้ฝัง ขนาด sourceforge ก็ยังมีปัญหานี้เลยนะครับ

By: blackdemon
Windows PhoneAndroid
on 20 September 2015 - 03:08 #844598 Reply to:844438
blackdemon's picture

จริง ขำแป๊บ ไม่คิดว่าคนในเว็บนะจะขาดความเฉลียวใจขนาดนี้นะ :-P

By: Bluetus
iPhone
on 19 September 2015 - 11:45 #844461
Bluetus's picture

โหดมากกกกกก

By: nrml
ContributorIn Love
on 19 September 2015 - 11:55 #844466
nrml's picture

ที่สงสัยคือบริษัทอย่าง Tencent มีปัญหาเรื่องเน็ตที่จะใช้ในการดาวน์โหลด Xcode จนต้องไปโหลดจาก mirror เลยเหรอ

By: panurat2000
ContributorSymbianUbuntuIn Love
on 19 September 2015 - 12:31 #844475
panurat2000's picture

แอพเหล่านี้จะแอบดึงข้อมูลในเครื่องข้อมูลใช้ส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์

แอบดึงข้อมูลในเครื่องข้อมูล ?

By: HuLii
iPhone
on 19 September 2015 - 12:54 #844479

ไมเค้าไม่โหลดผ่าน AppStore อ๊ะ..

By: obtheair on 19 September 2015 - 13:29 #844490 Reply to:844479

ก็ไฟล์มันขนาด 3.6GB โหลดผ่าน App Store ก็ต้องออกลิงค์ต่างประเทศซึ่งช้ากว่าลิงค์ในประเทศ กว่าจะโหลดเสร็จก็นาน เขาเลยโหลดผ่าน mirror ในประเทศไงครับ เจอแบบนี้คงจะเข็ดกันไปอีกนาน

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 19 September 2015 - 14:31 #844501 Reply to:844479
Ford AntiTrust's picture

คงไม่ต่างอะไรกับตอนอัพ iOS 9 ในไทยครับ คือพวกแรกๆ ตอนที่ ISP ยังไม่ทำ cache นี่ช้ามาก โหลดกันขาม inter ไม่ผ่าน cache ของ ISP วิ่ง 90KB/s ต้องปล่อยรอสักครึ่งชั่วโมงถึงจะอัพวิ่งระดับ 1MB/s ได้ คือเส้น inter มันเป็นคอขวดกันอยู่แล้วทุกประเทศแหละ อยู่ที่ว่าในประเทศจะมีระบบรองรับเรื่องพวกนี้ยังไง

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 19 September 2015 - 14:29 #844500
Ford AntiTrust's picture

อันนี้ไม่ค่อยแปลกใจเท่าไหร่ คือฝั่งคนใช้ Mac นี่เจอคนใช้ Anti Virus หรือ Anti Malware น้อยมาก พอโดนโปรแกรมสอดไส้แบบนี้เผลอให้ permission ลงพวกก็ allow เข้าไป แทบจะจบทันที ลาก่อย แน่นอนว่าอันนี้ในจีนที่เค้าโหลด mirror เพราะ link ระหว่างประเทศมันช้า เลยสอดไส้กันได้ง่าย ><"

จริงๆ ในไทยเราก็มี mirror อะไรคล้ายๆ แบบนี้อยู่ ถ้าใครเคยโหลด linux package/distro นี่จะรู้ว่ามีการใช้ hash พวก sha1sum, md5sum ช่วยในการเช็คการปลอมปนของแอพ เลยสบายหน่อย แต่ในกรณีนี้ดูเหมือนไม่มีให้เช็ค (หรือไม่ได้เช็ค) เลยรั่วกระจายกันแบบนี้ ><"