xiaolong 
またも訪れるのか、iOSデバイスのXcodeGhostによる悪夢が。。
iOS 8の時代に世間を騒がせた、App Storeで配布されているアプリにも感染していて、脱獄していなくても感染するということで話題となった”XcodeGhost”。感染していると公表されたアプリのメーカーがだいたいすぐに対応したことと、iOS 9にアップデートすることで対策がとられたためその騒ぎは下火になったのだが。。
ThreatPostの報道によると、ネットワークセキュリティの専門家グループFireEyeからの情報として、今度はiOSアプリに感染するマルウェア”XcodeGhostの”新型が再度出現し、今度はiOS 9のアプリとXcode 7に対応しており、また新たなテクノロジーによって検出されにくい仕様になっているとのこと。
iOS 9対応”XcodeGhost”はiOS 9での対策の「デベロッパ向け例外」を利用した悪質な仕様に
AppleはiOS 9でアプリに暗号化プロトコルのhttpsでの通信しか許可しなくなったが、開発者(デベロッパ)向けにはいくつかの例外を残してしまっていたようで、そこが狙われて利用されたもようだ。XcodeGhostのC&C(コマンドコントロールサーバ)に接続して、ユーザのデータを外部に漏洩してしまうという。
より検出されにくい仕様に
新型iOS 9対応版”XcodeGhost”は検出ツールによって検出されることを避けるため、新しいテクノロジーを使ってC&Cサーバを隠匿しているという。コードの中にはハードコードのアドレスは存在せず、文字コードによって組み合わされたURLが使用されているという。更に同時に新しいミックスメカニズムを導入しており、検出が難しくなっているという。
既に”自由邦”をはじめ、新しいXcodeGhost感染アプリは世界のApp Storeにばらまかれている
FireEyeは既に上記の内容をAppleに報告済で、中国の“自由邦”という旅行アプリが新型XcodeGhostに感染しているという。現在、このアプリは中国とアメリカのApp Storeから取り下げられている。他にもFireEyeは、XcodeGhostに感染したアプリは中国のApp Storeだけではなく、世界中にばらまかれてしまっていると警告している。
iOS 9対応新型XcodeGhost感染への対策:今のところなし
はっきりとした対策方法は今のところない。。が、これから感染アプリ情報の収集をしてそのアプリを削除することが必要だ。当ブログでも感染アプリの情報など、続報を載せていく予定なのでご注目いただければと思う。まずはできるだけ中国製のアプリはインストールしないようにしよう。
過去の”XcodeGhost”の情報はこちら
ちなみにiOS 8時代のXcodeGhostの情報や対策方法は当ブログで以下にまとめているのでご参考まで。
記事は以上。
(記事情報元:ThreatPost, FireEye)