اکس‌کدگوست

از ویکی‌پدیا، دانشنامهٔ آزاد

اکس‌کدگوست (به انگلیسی: XcodeGhost) (و نسخه XcodeGhost S) نسخه‌های اصلاح شده محیط توسعه نرم‌افزار اپل یعنی ایکس‌کد (Xcode) هستند که بدافزار در نظر گرفته می‌شوند.[۱] این نرم‌افزار اولین بار در سپتامبر ۲۰۱۵ مورد توجه گسترده قرار گرفت، زمانی که تعدادی از برنامه‌های تولیدشده در چین کد مخرب را در خود جای دادند.[۲] تصور می‌شد که این «اولین حمله گسترده به فروشگاه برنامه‌های اپل» باشد[۳] به نقل از بی‌بی‌سی(BBC) این مشکلات ابتدا توسط محققان علی‌بابا (Alibaba)، یک شرکت تجارت الکترونیک پیشرو در چین شناسایی شد،[۴] طبق چشم آتشین (FireEye)، بیش از ۴۰۰۰ برنامه آلوده شده بودند که بسیار بیشتر از ۲۵ موردی که اپل در ابتدا تأیید کرده‌است بود[۵] که شامل برنامه‌های تولیدشده در خارج از چین نیز می‌شد.

شرکت امنیتی Palo Alto Networks تصور کرد که از آنجا که سرعت شبکه در چین کندتر است، توسعه دهندگان این کشور به دنبال نسخه‌های محلی از محیط توسعه ایکس‌کد اپل (Apple Xcode) می‌گردند و با نسخه‌های تغییر یافته‌ای که در وب سایت‌های داخلی قرار داده شده مواجه می‌شوند. این دریچه ای را برای ورود بدافزار به برنامه‌های با مشخصات بالا که در دستگاه‌های آی او اس (iOS) استفاده می‌شود، باز کرد.[۶][۷]

حتی دو ماه پس از گزارش‌های اولیه، شرکت امنیتی چشم آتشین (FireEye) گزارش داد که صدها شرکت هنوز از برنامه‌های آلوده استفاده می‌کنند و اکس‌کود‌گوست (XcodeGhost) همچنان «یک خطر امنیتی پایدار» است.[۸][۹] این شرکت همچنین نوع جدیدی از بدافزار را شناسایی و آنرا اکس‌کدگوست اس (XcodeGhost S) لقب داده‌است. از جمله برنامه‌های آلوده، برنامه پیام رسان معروف وی‌چت (WeChat) و برنامه موسیقی نتیز ۱۶۳ (Netease Music 163) بودند.[۱۰]

کشف[ویرایش]

در ۱۶ سپتامبر ۲۰۱۵، یک توسعه دهنده چینی iOS در شبکه اجتماعی شخصی خود (Sina Weibo[۱۱]) به این اشاره کرده‌است که یک بدافزار در ایکس‌کد (XCode)، کد شخص ثالث را به برنامه‌های کامپایل شده با آن تزریق می‌کند.

محققان مؤسسه علی بابا (Alibaba[۱۲]) اطلاعات دقیق مربوط به بدافزار را منتشر کرده‌اند و آنرا اکس‌کود‌گوست (XcodeGhost) نامیدند.

در ۱۷ سپتامبر ۲۰۱۵، شبکه پالو آلتو (Palo Alto Networks) چندین گزارش در مورد این بدافزار را منتشر کرد.[۱۳][۱۴][۱۵][۱۶]

عملیات[ویرایش]

تبلیغ[ویرایش]

به دلیل سرعت کم بارگیری از سرورهای اپل، توسعه دهندگان iOS چینی ایکس‌کد (XCode) را از وب سایت‌های شخص ثالث مانند بایدا یون (Baidu Yun) (که اکنون Baidu WangPan نامیده می‌شود)، یک سرویس ذخیره‌سازی ابری که توسط بایدو (Baidu) میزبانی می‌شود، بارگیری می‌کنند یا از همکاران نسخه می‌گیرند. مهاجمان با توزیع نسخه‌های به خطر افتاده در چنین وب سایت‌های میزبان پرونده، از این وضعیت استفاده کردند.[۱۷]

بردار حمله[ویرایش]

ریشه‌ها[ویرایش]

سندی درز کرده از ادوارد اسنودن. "Strawhorse: حمله به کیت توسعه نرم افزار MacOS و iOS".

مهاجم از حمله درب کامپایلر استفاده کرد. تازگی این حمله تغییر در کامپایلر ایکس‌کد (XCode) است. با این حال، طبق اسناد منتشر شده توسط ادوارد اسنودن، محققان امنیتی سی آی ای (CIA) از آزمایشگاه‌های ملی ساندیا (Sandia) ادعا کردند که آنها "یک نسخه اصلاح شده از ابزار توسعه نرم افزار اختصاصی اپل، ایکس‌کد (XCode)، ایجاد کرده‌اند که می‌تواند از پشت درهای نظارت به هر برنامه یا برنامه ای که با استفاده از این ابزار ایجاد می‌شود، مخفی شود. "[۱۸]

پرونده‌های اصلاح شده[ویرایش]

نسخه‌های شناخته شده اکس‌کود‌گوست (XcodeGhost) فایلهای اضافی[۱۳] به برنامه اصلی ایکس‌کد (XCode) اضافه می‌کنند:

  • چارچوب خدمات اصلی در سیستم عامل‌های iOS، شبیه‌ساز iOS و سیستم عامل OS X
  • چارچوب IDEBundleInjection در سیستم عامل‌های iOS، شبیه‌ساز iOS و سیستم عامل OS X اضافه شده‌است

اکس‌کود‌گوست (XcodeGhost) همچنین پیوند دهنده را تغییر داده تا فایلهای مخرب[۱۶] به برنامه وارد شده پیوند دهد. این مرحله در گزارش کامپایلر گزارش می‌شود اما در محیط توسعه یکپارچه ایکس‌کد ( Xcode IDE ) گزارش نمی‌شود.

هر دو برنامه iOS و OS X در معرض آسیب اکس‌کود‌گوست (XcodeGhost) هستند.

گسترش[ویرایش]

اکس‌کود‌گوست (XcodeGhost) لایه سرویس‌های هسته (CoreServices) را که شامل ویژگیها و چارچوبهای بسیار استفاده شده توسط برنامه است، به خطر انداخت.[۱۹] وقتی یک توسعه دهنده برنامه خود را با نسخه آسیب دیده برنامه ایکس‌کد (XCode) کامپایل می‌کند، سرویس‌های هسته (CoreServices) مخرب به‌طور خودکار و بدون اطلاع توسعه دهنده در برنامه ادغام می‌شود.

سپس پرونده‌های مخرب کد اضافی را در کلاس یوآی ویندو (UIWindow) و کلاس یوآی دیوایس (UIDevice) اضافه می‌کنند. کلاس یوآی ویندو (UIWindow) «شیئی است که نماهای نمایش داده شده توسط یک برنامه را بر روی صفحه دستگاه مدیریت و هماهنگ می‌کند».[۲۰]

کلاس یوآی دیوایس (UIDevice) فراهم می‌کند تک قلو به عنوان مثال به نمایندگی از دستگاه در حال حاضر. از این نمونه مهاجم می‌تواند اطلاعات مربوط به دستگاه مانند نام اختصاص داده شده، مدل دستگاه و نام و نسخه سیستم عامل را بدست آورد.[۲۱]

رفتار در دستگاه‌های آلوده[ویرایش]

خطرات امنیتی از راه دور[ویرایش]

اکس‌کود‌گوست (XcodeGhost) از طریق دستوراتی که توسط مهاجم از سرور Command و Control از طریق HTTP ارسال می‌شود می‌تواند از راه دور کنترل شود. این داده‌ها با استفاده از الگوریتم DES در حالت ECB رمزگذاری می‌شوند. این حالت رمزگذاری نه تنها ضعیف شناخته شده‌است، بلکه می‌توان با استفاده از مهندسی معکوس کلیدهای رمزگذاری را نیز یافت. یک مهاجم می‌تواند یک شخص را در حمله وسط اجرا کند و ترافیک جعلی HTTP را به دستگاه منتقل کند (برای باز کردن یک جعبه گفتگو یا باز کردن برنامه خاص به عنوان مثال).

منابع[ویرایش]

  1. Dan Goodin (September 21, 2015). "Apple scrambles after 40 malicious "XcodeGhost" apps haunt App Store". Ars Technica. Retrieved 2015-11-05.
  2. Joe Rossignol (September 20, 2015). "What You Need to Know About iOS Malware XcodeGhost". macrumors.com. Retrieved 2015-11-05.
  3. "Apple's App Store infected with XcodeGhost malware in China". BBC News (به انگلیسی). 2015-09-21. Retrieved 2016-09-22.
  4. "Apple's App Store infected with XcodeGhost malware in China". BBC News. 21 September 2015. Retrieved 2015-11-05.
  5. https://www.fireeye.com/blog/executive-perspective/2015/09/protecting_our_custo.html
  6. Byford, Sam (September 20, 2015). "Apple removes malware-infected App Store apps after major security breach". The Verge. Retrieved 2015-11-05.
  7. James Temperton (September 21, 2015). "Apple App Store hack: XcodeGhost attack strikes China (Wired UK)". Wired UK. Retrieved 2015-11-05.
  8. Kirk, Jeremy (November 4, 2015). "Many US enterprises still running XcodeGhost-infected Apple apps, FireEye says". InfoWorld. Retrieved 2015-11-05.
  9. Ben Lovejoy (November 4, 2015). "A modified version of XcodeGhost remains a threat as compromised apps found in 210 enterprises". 9to5Mac. Retrieved 2015-11-05.
  10. Yong Kang; Zhaofeng Chen; Raymond Wei (3 November 2015). "XcodeGhost S: A New Breed Hits the US". FireEye. Retrieved 2015-11-05. XcodeGhost S: A New Breed Hits the US
  11. "First mention of XcodeGhost on SinaWeibo". Sina Weibo. September 17, 2015. Retrieved 2015-11-11.
  12. "Xcode编译器里有鬼 – XcodeGhost样本分析-安全漏洞-安全研究-阿里聚安全". jaq.alibaba.com. Archived from the original on 19 April 2016. Retrieved 2015-11-11.
  13. ۱۳٫۰ ۱۳٫۱ Claud Xiao (September 17, 2015). "Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
  14. Claud Xiao (September 18, 2015). "Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of Millions of Users - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
  15. Claud Xiao (September 18, 2015). "Update: XcodeGhost Attacker Can Phish Passwords and Open URLs through Infected Apps - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
  16. ۱۶٫۰ ۱۶٫۱ Claud Xiao (September 21, 2015). "More Details on the XcodeGhost Malware and Affected iOS Apps - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2015-11-11.
  17. Thomas Fox-Brewster (September 18, 2015). "Hackers Sneak Malware Into Apple App Store 'To Steal iCloud Passwords'". Forbes. Retrieved 2015-11-11.
  18. Jeremy Scahill; Josh Begley (March 10, 2015). "The CIA Campaign to Steal Apple's Secrets". The Intercept. Retrieved 2015-11-11.
  19. "Core Services Layer". developer.apple.com. Retrieved 2015-11-11.
  20. "UIWindow Class Reference". developer.apple.com. Retrieved 2015-11-11.
  21. "UIDevice Class Reference". developer.apple.com. Retrieved 2015-11-11.
برگرفته از «https://fa.wikipedia.org/w/index.php?title=اکس‌کدگوست&oldid=35444325»