พบโปรแกรม Xcode ปลอม แอบฝังโค้ดอันตรายลงในแอป iOS ผู้ใช้ WeChat ได้รับผลกระทบ

Posted on 1Secure-NBTCPosted in รายงานภัยไซเบอร์

เมื่อวันที่ 17 กันยายน 2558 นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Palo Alto Networks สหรัฐอเมริกา ได้รายงานการค้นพบมัลแวร์ชื่อ XcodeGhost ซึ่งเป็นการนำโปรแกรม Xcode ของ Apple มาแก้ไขใหม่ โดยให้โปรแกรม Xcode แอบเพิ่มโค้ดอันตรายลงในแอปพลิเคชัน iOS ที่นักพัฒนาเผยแพร่ด้วย ซึ่งโค้ดอันตรายดังกล่าวมีทั้งแอบขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้/รหัสผ่าน

Xcode เป็นโปรแกรมสำหรับใช้พัฒนาแอปพลิเคชันบนระบบปฎิบัติการณ์ iOS ซึ่งโปรแกรมนี้ต้องติดตั้งบนระบบปฏิบัติการ Mac OS X เนื่องจากไฟล์ติดตั้งโปรแกรม Xcode มีขนาดใหญ่ และนักพัฒนาต้องดาวน์โหลดโปรแกรมนี้มาจากเซิร์ฟเวอร์ของ Apple ซึ่งหลายๆ ภูมิภาคในประเทศจีนนั้นการเชื่อมต่ออินเทอร์เน็ตไปยังเซิร์ฟเวอร์ต่างประเทศเป็นไปได้ช้า ทำให้นักพัฒนาบางส่วนเลือกที่จะดาวน์โหลดซอฟต์แวร์จากแหล่งดาวน์โหลดภายในประเทศแทน

จากรายงานของบริษัท Palo Alto Networks ระบุว่ามีผู้อัปโหลดโปรแกรม Xcode เวอร์ชันดัดแปลงขึ้นไปไว้บนเซิร์ฟเวอร์ที่ให้บริการฝากไฟล์แห่งหนึ่งในประเทศจีน โดยโปรแกรม Xcode เวอร์ชันดัดแปลงนี้จะลักลอบเพิ่มโค้ดลงในแอปพลิเคชัน iOS ที่ผู้ใช้พัฒนาอยู่ เมื่อมีการคอมไพล์ซอร์สโค้ดโปรแกรม Xcode จะใส่โค้ดสำหรับขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้/รหัสผ่านลงในแอปพลิเคชันนั้นด้วย ซึ่งกรณีนี้นักพัฒนาจะไม่ทราบถึงความผิดปกติ และเมื่อมีการส่งแอปพลิเคชันขึ้นไปบน App Store ก็มีโอกาสที่จะผ่านกระบวนการตรวจสอบของ Apple และสามารถถูกดาวน์โหลดไปติดตั้งลงในเครื่องของผู้ใช้ได้โดยง่าย ซึ่งในกรณีนี้ ผู้ใช้งานอุปกรณ์ iOS ที่ไม่ได้ Jailbreak ก็สามารถติดมัลแวร์ได้

ทางบริษัท Palo Alto Networks ได้เปิดเผยรายชื่อแอปพลิเคชันที่ได้รับผลกระทบจากการที่นักพัฒนาใช้โปรแกรม Xcode เวอร์ชันดัดแปลง โดยหนึ่งในนั้นมีรายชื่อแอปพลิเคชัน WeChat ซึ่งเป็นแอปพลิเคชันสนทนาที่มีผู้ใช้งานในประเทศไทยพอสมควร

332_1509221056409g

ภาพจาก : http://tips.thaiware.com/

ผลกระทบ

ผู้ใช้งานอุปกรณ์ iOS ซึ่งทำการติดตั้งแอปพลิเคชันที่ถูกแอบฝังโค้ดอันตราย อาจถูกขโมยข้อมูลส่วนตัวหรือถูกหลอกขโมยชื่อผู้ใช้/รหัสผ่านได้

ระบบที่ได้รับผลกระทบ

ผู้ใช้งานอุปกรณ์ iOS ที่ติดตั้งแอปพลิเคชันที่ถูกแอบฝังโค้ดอันตราย โดยทาง Palo Alto Networks Fox-it แจ้งว่ามีประมาณมากกว่า 50 แอปพลิเคชัน ตัวอย่างรายชื่อแอปพลิเคชันที่ได้รับผลกระทบ เช่น

  • WeChat เวอร์ชัน 6.2.5
  • WinZip
  • CamScanner
  • CamCard
  • Oplayer
  • PDFReader
  • Perfect365

มาดูวิธีการตรวจสอบกัน

  1. ใช้ Safari บน iPhone หรือ iPad ก็ได้ไปที่ http://x.pangu.io/
  2. กดปุ่มสีน้ำเงินที่เขียนว่า 立即下载 เพื่อทำการติดตั้งเครื่องมือตรวจสอบ
  3. รอสักครู่จะมีปุ่ม Install ปรากฏขึ้นมา กด Install
  4. บนหน้า Homescreen เราจะได้แอพฯเพิ่มขึ้นมาเป็นรูปไอคอนสายฟ้า กดแตะเข้าไปแล้วกด Trust
  5. ในแอพฯกดแตะไปที่ 点击检测Xcode病毒
  6. หากเครื่องเราปลอดภัยจาก XcodeGhost  เราจะพบกับหน้าจอเครื่องหมายถูกสีเขียว แต่ถ้าโดนโจมตีจะมีรายชื่อแอพฯที่โดนโจมตีปรากฏขึ้นมา ให้เราลบแอพฯดังกล่าวออกก่อน จนกว่านักพัฒนาจะทำการแก้ไขครับ

332_15092211034477                332_150922110344QV

 

332_15092211050509          332_1509221105025f
332_150922110620OR           332_15092211062163

ภาพจาก : http://tips.thaiware.com/

ที่มา : 1. https://www.thaicert.or.th/alerts/user/2015/al2015us006.html

           2. http://tips.thaiware.com/332.html

Leave a Reply

Your email address will not be published. Required fields are marked *