Este domingo Apple estuvo limpiando su AppStore de un montón de aplicaciones maliciosas. ¿Cómo fue que pasaron los chequeos? Infectando el compilador.
La AppStore se ha caracterizado por un proceso bastante riguroso de selección y filtrado de aplicaciones para prevenir Malware en su tienda. Sin embargo, los hackers siempre van a buscar la manera de entrar, y aparentemente lo consiguieron por un momento, ya que este domingo se reportó que más de 344 aplicaciones fueron retiradas de la AppStore pues se encontraban infectadas con un Malware al que llamaron XCodeGhost.
XCode es el entorno de desarrollo oficial de Apple para crear y compilar sus aplicaciones. Aparentemente, unos hacker crearon una versión modificada de XCode y lo colocaron en Internet, y de alguna forma convencieron a los desarrolladores de que la descargaran. Algunos piensan que pudo ser por la velocidad, ya que fue colgado en unos servidores en China, país donde inició la infección.
Esta versión modificada de XCode a la que llamaron XCodeGhost, inyectaba código malicioso a las aplicaciones que eran compiladas antes de enviarlas a la AppStore, por lo que muchas aplicaciones oficiales como WeChat, de desarrolladores legítimos, fueron comprometidas.
El código malicioso inyectado intentaba conexiones a un servidor desde el cual un atacante podía robar información del usuario, inyectar más exploits y alterar la funcionalidad de la aplicación. Aunque los investigadores indican que la funcionalidad del malware era bastante limitada y no se detectaron casos de robo de información.
Ryan Olson , Director de Inteligencia en Amenazas de Palo Alto Networks, dijo que su firma no había descubierto ningún ejemplo de robo de datos u otros daños como resultado del ataque. Sin embargo, dijo que era «una gran cosa» porque demostró que la App Store podría verse comprometida si los hackers infectan las máquinas de los desarrolladores de software que escriben aplicaciones legítimas. Otros atacantes pueden copiar ese enfoque, contra el cual es difícil de defenderse. Según la firma, los instaladores de Xcode infectados son los que se encuentran entre la versión 6.1 a 6.4.
Las aplicaciones infectadas fueron removidas de la tienda y están pasando por un nuevo proceso de revisión para que sean compiladas con una versión legítima de Xcode. Las versiones de XCode infectadas fueron reportadas y eliminadas de los servidores. Aunque principalmente fue el mercado Chino el que sufrió el ataque, esto demuestra que nunca se es suficientemente cuidadoso.
Algunos investigadores de seguridad piensan que más que un ataque, esto fue una prueba de concepto. Una forma de ver hasta donde se puede llegar con este tipo de técnicas. Lo cierto es que ahora se ha expuesto que los desarrolladores son un blanco más de los atacantes, ya que si se logra comprometer al desarrollador de una aplicación popular, estaría siendo comprometido el cúmulo de usuarios que usa esta aplicación.
Fuente: SlashDot
