5 vragen over XcodeGhost, en hoe de App Store geïnfecteerd werd

Er is een groot aantal apps met malware ontdekt in de App Store van Apple. Ruim 300 applicaties blijken te zijn geïnjecteerd met malafide code, die zich vooral leek te richten op Chinese gebruikers. 5 vragen over de XcodeGhost-hack, zoals welke apps er getroffen zijn en wat je eraan kunt doen.

1. Om welke apps gaat het?

De hack werd ontdekt door onderzoeksbureau Palo Alto Networks, dat zegt dat het om ruim 300 apps gaat, al is er nog geen complete lijst beschikbaar. Het gaat veelal om obscure applicaties die normaal niet veel gedownload worden, in ieder geval niet in Nederland.

De apps worden vooral veel in China gebruikt, zoals WeChat, een app die bijvoorbeeld veel lijkt op WhatsApp. Ook zitten er een aantal apps bij van Chinese banken.

Toch zijn niet alle apps gericht op Azië. Eén van de apps is bijvoorbeeld Angry Birds 2 - lang niet meer zo populair als vroeger, maar nog steeds veel gedownload en gespeeld.

Een complete lijst van apps is hier te vinden.

2. Wat doet de malware?

Met de malware werden persoonlijke gegevens van gebruikers gestolen. Bepaalde gegevens werden doorgevoerd naar de servers van de malware-makers, zoals ingevoerde tekst, en teksten op het Klembord. Ook werd op sommige telefoons een nagemaakt inlogscherm getoond waarin gebruikers hun gebruikersnaam en wachtwoord moesten weergeven.

Veel specifieke informatie ontbreekt nog, maar het is al wel duidelijk dat er veel informatie beschikbaar was voor de dieven.

3. Wat kun je ertegen doen?

De kans is klein dat je zelf getroffen bent door de malware. Je zou daarvoor in de afgelopen 14 dagen één van de apps hebben gedownload uit de lijst, en zelfs dan is het nog niet 100% zeker dat je getroffen bent.

Zoals altijd geldt hier het geval dat je het beste de betreffende app kunt verwijderen, en geen persoonlijke zaken meer regelt zoals bankzaken. Let bovendien goed op inlogschermen die ineens verschijnen terwijl je ze niet verwacht, door te kijken naar de url en of de pagina's versleuteld zijn.

4. Hoe kan zoiets?

De malware werd toegevoegd vóór het in de App Store kwam: Via de ontwikkelaars zelf. Die gebruiken Xcode, Apples programma voor ontwikkelaars om apps te bouwen. Het lijkt erop dat de hackers Xcode hebben nagemaakt, en daar malware in hebben gestopt. Zodra een app dan in de App Store zou verschijnen zou de malware pas in werking treden.

Daar zit echter een groot vraagteken achter, want de officiële versie van Xcode komt van de site van Apple, waar altijd ook de meest actuele versie staat. Je moet bovendien een officieel erkende ontwikkelaar zijn om de software te downloaden.

De malware-bouwers hebben echter hun eigen geïnfecteerde kopie van Xcode bij de ontwikkelaars weten te krijgen. Dat zou normaal kunnen door de verkeerde versie bijvoorbeeld op The Pirate Bay te zetten - hoe veel mensen bijvoorbeeld ook Photoshop (illegaal) zouden downloaden. Maar omdat het om officiële Apple-software gaat lijkt het niet logisch dat ontwikkelaars de software ergens anders vandaan halen dan van de site van Apple.

Dat vraagteken blijft voorlopig nog even open staan. Apple heeft nog niet gereageerd op de situatie.

5. Waarom is deze aanval zo opvallend?

De App Store was altijd één van de veiligste online winkels, waar malware niet in voorkwam. Apple is altijd notoir strikt in het toelatingsproces van applicaties, waardoor het soms wel 2 weken kan duren voor een app in de Store komt. Apple test het programma niet alleen op inhoud (die mag geen seks of geweld bevatten), maar ook op veiligheid. Apps worden soms niet alleen geweigerd omdat ze bewust malware bevatten, maar ook omdat de ontwikkelaars per ongeluk een lek in hun code hebben zitten, waardoor het bijvoorbeeld mogelijk zou zijn een man-in-the-middle-aanval uit te voeren.

Het is overigens niet de eerste keer dat apps in de App Store verschijnen die later malware bevatten. Dat is al wel eerder gebeurd - al ging het daarbij om individuele apps, niet om zo'n grote groep als nu.

Deel dit artikel
Voeg toe aan favorieten