先週、App Storeで公開されている複数のアプリに「XcodeGhost」と呼ばれる新たなiOSマルウェアが含まれていることが発覚しました。このマルウェアは、Appleの公式アプリ開発ツールであるXcodeの改変版を介して拡散していました。
悪意のあるバージョンのXcodeは、中国のクラウドファイル共有サービス「Baidu」にアップロードされ、中国の一部のiOS開発者によってダウンロードされました。開発者たちは、その悪意のあるバージョンのXcodeを使用してアプリをコンパイルし、iOS App Storeで公開していました。
Xcode のサイズが大きいため、中国ではダウンロードに時間がかかることがあるため、中国の開発者は Apple の公式ソース以外のサーバーから Xcode の新しいバージョンをダウンロードするのが一般的です。
影響を受けるXcodeのバージョンは、Xcode 6.1からXcode 6.4までの非公式バージョンです。影響を受けるiOSデバイスには、感染したアプリと互換性のあるiOSバージョンを実行しているすべてのデバイスが含まれます。これは、ジェイルブレイクの有無にかかわらず、あらゆるiOSデバイスに影響を与える可能性があります。
MacRumors は、米国のサイバーセキュリティ企業Palo Alto Networks がこのマルウェアに関する詳細を公開したと報じている。
XcodeGhost 経由で感染したアプリは、感染したデバイスに関する以下の情報を収集できます。
- 現在の時刻
- 現在感染しているアプリの名前
- アプリのバンドル識別子
- 現在のデバイスの名前とタイプ
- 現在のシステムの言語と国
- 現在のデバイスのUUID
- ネットワークタイプ
感染したアプリは、攻撃者から以下のアクションを実行するコマンドを受信することもできます。
- 偽の警告ダイアログを表示してユーザーの資格情報をフィッシングします。
- 特定の URL を開くことをスキームに基づいてハイジャックし、iOS システムや他の iOS アプリの脆弱性を悪用する可能性があります。
- ユーザーのクリップボード内のデータを読み書きします。パスワードがパスワード管理ツールからコピーされた場合、このデータを使用してユーザーのパスワードを読み取ることができます。
300 以上のアプリが感染していると示唆されていますが、これまでに感染が確認されているアプリは以下のとおりです ( Business Insider経由)。
- 微信
- 滴滴出行(中国におけるUberの最大のライバルである滴滴快的が開発)
- Angry Birds 2 (Business Insider のリストにのみ記載されており、現在確認中です…)
- ネットイース
- マイクロチャネル
- IFlyTek入力
- 鉄道12306(中国で鉄道チケットを購入するために使用される唯一の公式アプリ。)
- キッチン
- カードセーフ
- CITIC銀行のカードスペース移動
- 中国聯通モバイルオフィス
- 高地ドイツ語地図
- ジェーンの本
- 目を大きく開いて
- ライフスマート
- マラ・マラ
- 強制する薬
- ヒマラヤ
- ポケットビリング
- フラッシュ
- クイックは医者に尋ねた
- のんびりとした週末
- マイクロブログカメラ
- クレソンの読書
- カムスキャナー
- CamCard (非常に人気のある名刺リーダー)
- セグメントフォールト
- 株式オープンクラス
- 活況を呈する株式市場
- 3つの新しいボード
- ドライバーがドロップ
- OPlayer
- 電話アトリビューションアシスタント
- 夫婦のベッド
- ひどいツアー
- 私はMTに電話した
- MT2に電話した
- 自由の戦い
Appleは次のような声明を発表しました。
「偽造ソフトウェアを使用して作成されたことが判明したアプリをApp Storeから削除しました。開発者と協力して、アプリの再構築に適切なバージョンのXcodeを使用していることを確認しています。」
上記のアプリをiOSデバイスにインストールしている場合は、直ちにアプリをアンインストールし、マルウェアが除去された新しいバージョンにアップデートしてください。また、感染したデバイスで入力したパスワードもリセットすることをお勧めします。
開発者の皆様は、インストール済みのXcodeの非公式バージョンをすべて削除し、公式バージョンのXcode 7またはXcode 7.1ベータ版をインストールしてください。どちらもApple公式開発者センターおよびMac App Storeから無料で入手できます。
