Nelle ultime ore si è parlato molto di XcodeGhost, un malware che ha minato la tranquillità dell’App Store e quindi degli utenti.
I dubbi sulla questione sono sicuramente tanti, e noi cercheremo di scioglierli con questa analisi approfondita.
Cos’è XcodeGhost?
XcodeGhost risulta essere (o essere stato) il primo tentativo riuscito di inserire codice malevolo nell’ecosistema Apple, utilizzando l’ambiente creato da Apple contro l’azienda stessa.
Xcode è l’ambiente di sviluppo integrato realizzato da Apple e messo a disposizione degli sviluppatori che intendano creare applicazioni e giochi per iOS o OSX. XcodeGhost invece è una versione modificata di una release precedente di Xcode in cui sono state introdotte delle funzionalità aggiunti, maligne, senza che gli sviluppatori sapessero della loro presenza. Qualsiasi applicazione sviluppata con XcodeGhost è potenzialmente dannosa.
I link per scaricare la versione contraffatta di Xcode è stato divulgato in diversi forum di settore, allettando gli sviluppatori con la velocità di download più veloce rispetto a quella dei server Apple. Il codice fantasma (da qui il nome) era già presente senza che potesse essere visualizzato.
Cosa fa XcodeGhost?
Comunica. Il codice malevolo è attivo in background e, secondo quanto riportato dalla società di sicurezza Palo Alto Networks, invia a server esterni i dati raccolti dal dispositivo in uso: il tipo, il nome, la lingua, la posizione, l’operatore e l’identifierForVendor del dispositivo, un codice che consente ad altre applicazioni dello stesso sviluppatore di essere eseguite sullo stesso dispositivo.
Comunicando, il codice malevolo non solo trasmette ma riceve e la ricezione di ordini dal server esterno potrebbe forzare il dispositivo ad aprire pagine web o creare falsi finestre d’avviso che invitano l’utente ad inserire l’ID Apple e la password. Non è confermato, ma potrebbe anche essere in grado di richiedere e ricevere le password salvate in un’applicazione.
Quali sono le app colpite da malware?
Essendo un codice compilato da sviluppatori con sede in Cina, la maggior parte delle applicazioni sono cinesi. Ce ne sono alcune però che riguardano il mercato mondiale potete verificare se ne abbiate installata qualcuna.
Chi ha realizzato questo codice?
Chi sia stato di preciso non si sa. E’ stato pubblicato un posto sul sito GitHub in cui il presunto creatore cerca di fornire una spiegazione e delle scuse che risultano, al momento, poco credibili.
XcodeGhost minaccia le applicazioni in ogni App Store?
Dipende. La risposta è un po’ vaga ma ad esempio il tanto celebrato Angry Birds 2 di Rovio è sì elencato tra le app colpite da codice malevolo ma, secondo l’azienda sviluppatrice, solo la versione pubblicata su alcuni App Store è realmente infetta.
Rovio può confermare che la versione cinese di Angry Birds 2 per l’App Store di Cina, Taiwan, Hong Kong e Macao è stata effettivamente vittima del codice malevolo. Tutte le altre versioni sono completamente sicure e protette.
In teoria, se un’azienda come Rovio ha assegnato la realizzazione della versione cinese ad un team di sviluppatori cinesi che ha usato la versione modificata di Xcode, allora quella versione avrà problemi di sicurezza. Se tutte le versioni sono state realizzate con lo stesso codice, saranno tutte infette mentre se il codice è stato prelevato direttamente da Apple per realizzare le altre distribuzioni, allora saranno sicure.
C’è una grande confusione in merito a questo discorso ma la soluzione migliore è che se una delle app installate sul proprio dispositivo è presente nell’elenco sarebbe bene eliminarla perché potrebbe essere compromessa, attendendo un aggiornamento successivo.
Come si può rimediare?
Prima di tutto sarebbe opportuno eliminare l’applicazione incriminata dal dispositivo. Poi, oltre a verificare l’integrità del sistema controllare il comportamento di iPhone o iPad, verificare l’apertura di finestre di dialogo che chiedono, senza un motivo valido, l’inserimento dell’ID Apple e della password.
Il noto Team Pangu ha creato un tool che permette di effettuare una verifica dell’app installate e, segnalare quelle infette. Prima di tutto dobbiamo recarci a questo link direttamente dal nostro dispositivo (http://pangu.io) una volta installata e avviata, procederemo allo scanning del nostro device.
Completato il procedimento, l’applicazione vi restituirà una nuova pagina con le app potenzialmente infette, o un avviso che vi avverte che il dispositivo non è stato infettato.
Qualora vi segnalasse la presenza di un’applicazione infetta (vedi screen con TinyDeal) consigliamo di eliminare l’applicazione dal dispositivo.
Nota: L’applicazione va autorizzata per riuscire a funzionare. Per farlo, entrate in Impostazioni > Generali > Profili > e nella sezione App Aziendali troverete il profilo di Shenzen.
Nota 2: L’applicazione è in cinese, ma è sicura e comprensibile.
In ultimo, accedete alla gestione del vostro ID Apple e modificate la password diffidando da qualsiasi mail o messaggio che vi inviti a farlo.
