XcodeGhost là gì, tại sao nó có thể vượt qua các chuyên gia bảo mật của Apple một cách dễ dàng như vậy?
Cái tên được cộng đồng công nghệ nhắc đến nhiều nhất trong 2 ngày cuối tuần vừa qua chính làXcodeGhost – một malware (phần mềm độc hại) vừa bị phát hiện trên các ứng dụng iOS trên App Store. Thông tin cũng được khẳng định đây là OFFICAL APP STORE - nghĩa là App store chính thức - nguồn tải ứng dụng an toàn nhất cho người dùng Apple chứ không phải từ một nguồn thứ 3.

Điều đáng nói, tất cả ứng dụng muốn xuất hiện trên App Store đều phải vượt qua quá trình kiểm duyệt gắt gao về thiết kế, giao diện cũng như nội dung trong thời gian vài tuần. Vậy XcodeGhost là gì, tại sao nó có thể vượt qua các chuyên gia bảo mật của Apple một cách dễ dàng như vậy?



XcodeGhost - cái tên được nhắc đến nhiều nhất 2 ngày vừa qua





XcodeGhost là gì?

XcodeGhost là một malware (phần mềm độc hại) được tích hợp vào ứng dụng iOS, nó bắt nguồn từ bộ công cụ Xcode bị nhiễm mã độc. Xcode là công cụ của Apple cho phép lập trình viên tạo ra các ứng dụng iOS và OS X.

XcodeGhost bắt nguồn từ đâu?

Đầu tiên, một vài kẻ xấu đã "mod" phiên bản Xcode chính thức của Apple thành XcodeGhost (đã bị nhiễm mã độc), sau đó upload công cụ này lên dịch vụ chia sẻ file Baidu. Những lập trình viên iOS ở Trung Quốc đã tải về XcodeGhost về để làm việc (mà không hề hay biết bên trong có mã độc).

Những ứng dụng được lập trình bởi XcodeGhost sau đó "đường hoàng" vượt qua bài kiểm tra của Apple và được người dùng tải về thiết bị một cách bình thường qua App Store như mọi ứng dụng khác.

Tại sao các lập trình viên Trung Quốc lại tải Xcode từ Baidu thay vì bản chính thức trên website của Apple ?

Vấn đề của Xcode là dung lượng cài đặt lớn (3GB), trong khi việc tải trực tiếp từ server Apple tại Trung Quốc lại chậm như rùa bò. Vì thế, rất nhiều lập trình viên Trung Quốc đã chọn giải pháp tải Xcode từ bên thứ 3 (Baidu) để tiết kiệm thời gian - chính hành động này đã lây nhiễm XcodeGhost vào các ứng dụng mà họ đang phát triển.



Việc tải Xcode từ Baidu đã vô tình lây nhiễm malware tới hơn 500 triệu người dùng trên thế giới



Những thiết bị nào của Apple bị ảnh hưởng?

Tất cả các thiết bị chạy iOS bao gồm iPod, iPhone, iPad đã tải và cài đặt những ứng dụng nhiễm mã độc từ App Store Trung Quốc.

Những ứng dụng nào bị nhiễm XcodeGhost?

Theo thống kê của các chuyên gia bảo mật, đến thời điểm hiện tại, danh sách bị nhiếm XcodeGhost đã vượt quá 50 ứng dụng. Mặc dù các ứng dụng bị lây nhiễm chủ yếu đến từ App Store Trung Quốc, tuy nhiên có một số cái tên quen thuộc như WeChat, White Tile và WinZip – những ứng dụng được sử dụng rộng rãi trên quy mô toàn cầu. Bạn có thể xem danh sách đầy đủ các ứng dụng bị lây nhiễm:



Danh sách những ứng dụng bị lây nhiễm XcodeGhost



Bao nhiêu người dùng đã bị ảnh hưởng?

Tính đến thời điểm hiện tại, thống kê cho thấy có hơn 500 triệu người dùng bị ảnh hưởng bởi XcodeGhost, trong đó chủ yếu đến từ lượng người dùng đông đảo của ứng dụng WeChat.

Người dùng ở Việt Nam có bị ảnh hưởng không?

Rất tiếc, câu trả lời là . Nếu bạn đã tải về và sử dụng các ứng dụng trong danh sách ở trên thì thiết bị của bạn đã nhiễm XcodeGhost.



Người dùng WeChat trên khắp thế giới đã bị nhiếm malware này



Xcode Ghost có liên quan tới việc jailbreak hay không?

Không, XcodeGhost có thể hoạt động trên cả thiết bị jailbreak hoặc không !

XcodeGhost sẽ làm gì thiết bị của bạn?

Đầu tiên, các ứng dụng iOS bị lây nhiễm XcodeGhost sẽ thu thập thông tin của người dùng và thiết bị, sau đó gửi đến server của hacker. Cụ thể, các thông tin đó là:

+ Thời gian hiện tại

+ Ứng dụng bị lây nhiễm

+ Tên thiết bị và model

+ Quốc gia

+ UUID thiết bị

+ Loại kết nối mạng

Ngoài ra, trung tâm nghiên cứu bảo mật Palo Alto Networks khẳng định XcodeGhost còn có những hành động nguy hiểm hơn:

+ Hiển thị thông báo, màn hình đăng nhập giả trên màn hình để đánh cắp tài khoản iCloud (đòi tiền chuộc) và những thông tin cá nhân khác (email, tài liệu, hình ảnh, thẻ tín dụng,...)

+ Tự động truy cập các trang web mà không cần sự cho phép của người dùng

+ Đọc/ghi dữ liệu từ clipboard của máy để "ăn trộm" thông tin cá nhân của người dùng, ví dụ mật khẩu

Động thái của Apple trước tình trạng khẩn cấp này:

Theo thông báo chính thức từ hãng tin Reuters, Apple khẳng định đã gở bỏ tất cả các ứng dụng bị lây nhiễm XcodeGhost đồng thời có cơ chế kiểm tra các phiên bản Xcode hợp lệ. Những lập trình viên phải phát triển ứng dụng của mình với phiên bản Xcode chính thức.

Ứng dụng nổi tiếng nhất bị nhiễm XcodeGhost là WeChat cũng đã cập nhật lên phiên bản 6.2.6 mới. Người dùng WeChat 6.2.5 (đang bị nhiễm XcodeGhost) cần phải nhanh chóng gỡ bỏ/cập nhật phiên bản mới ngay từ bây giờ.



Người dùng WeChat cần cập nhật lên phiên bản mới nhất



Người dùng phải làm gì nếu thiết bị của họ đã bị nhiễm XcodeGhost?

Hãy bình tĩnh, đầu tiên, bạn phải lập tức gỡ bỏ các ứng dụng iOS bị lây nhiễm (có trong danh sách sau) và chỉ cài đặt trở lại khi có thông báo chính thức từ các nhà phát triển ứng dụng. Sau đó, hãy đổi mật khẩu tất tất cả các tài khoản mà bạn từng sử dụng trên thiết bị iOS của bạn, trong đó quan trọng nhất là iCloud. Còn nếu bạn không yên tâm, chúng tôi khuyến cáo bạn nên backup các dữ liệu quan trọng, sau đó restore thiết bị của mình về trạng thái ban đầu.

Đây cũng là 1 bài học cho các lập trình viên: tuyệt đối không sử dụng các công cụ lập trình có nguồn gốc không rõ ràng, hãy tải về từ trang chủ của hãng (Apple, Microsoft, Google,...) để đảm bảo cho ứng dụng của bạn cũng như sự an toàn của người tiêu dùng.