パスワードを忘れた? アカウント作成
12522815 story
iOS

XcodeGhostによるApp Store初の大規模感染、1,000本近いアプリに影響か 65

ストーリー by headless
増殖 部門より
改変版Xcode「XcodeGhost」による悪意のあるコードに感染したiOSアプリが多数App Storeで発見されたことを受け、Appleが感染アプリの削除を開始したそうだ(Reutersの記事The Guardianの記事TNW Newsの記事VentureBeatの記事)。

XcodeGhostは正規のXcodeを装って開発者にインストールさせることにより、開発されたアプリに悪意のあるコードを埋め込む。XcodeGhostが使用するファイルや、感染アプリの動作については、9月21日の記事も参照してほしい。AppleはXcodeGhostで作られたことが判明しているアプリを削除したと述べ、正規のXcodeでアプリを再ビルドするように開発者を促しているとしている。ただし、Appleでは具体的な感染アプリの名称や削除した数などを明らかにしておらず、ユーザーが感染アプリの有無を判断する方法なども説明していない。

最初にXcodeGhostを確認したPalo Alto Networksでは39本の感染アプリをApp Storeで発見しており、オランダのセキュリティー企業Fox-ITが発見した56本とあわせて95本のアプリを含むリストを公表している。また、中国のセキュリティー企業Qihoo 360ではバージョン別の感染アプリリストを公表しており、20日時点で感染アプリは1,078本、バージョン違いを1本にまとめると847本となる。Palo Alto NetworksのリストとQihoo 360のリストを合わせて重複を除外すると900本になった。

リストの中には既に開発元が詳細を明らかにしてアプリを更新している「WeChat(微信)」を含め、中国以外でも広く使われている人気アプリの名前もみられる。ただし、リストにはアプリの詳細ページへのリンクが示されていないため、単なる同名アプリが含まれている可能性もある。

App Storeでは過去にもiOS用のマルウェアが発見されているが、今回のように多数の感染アプリが発見されるのは初めてのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • なんで? (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2015年09月22日 12時47分 (#2887037)

    >Appleでは具体的な感染アプリの名称や削除した数などを明らかにしておらず

    数はともかく名称は公表しろよ
    批難されないように動いているだけって印象で、被害を最小限に食い止めようって気がまるで感じられん
    ストア囲い込み戦略をとった以上、今回は果たすべき責任を果たせなかったAppleの落ち度でもあるが、そういう意識は無いのか?

    • ストア囲い込み戦略をとった以上、今回は果たすべき責任を果たせなかったAppleの落ち度でもあるが、そういう意識は無いのか?

      全く無いと思います。都合の悪い数字を隠蔽するという、中国政府(中国政府が発表する統計資料の多くは政府にとって都合の良いように改竄されています)のような最悪な行為です。自分たちがコードレビューしているアプリストアで大量に感染アプリを配信してしまったことに対する対処として最低です。

      Android ユーザーの多くは、Playストアで配信されているアプリを安全だとは信じていないので、「アプリの公開元の会社や組織が信頼できるか」を重視しています。また、権限を確認したり、ウイルス対策ソフトを導入したり、レビューや評判情報を予め収集したりとできる限りの補助的な対策もとっています(補助的な対策では完全に安全なアプリであると判断することができないことも認識しています)。これは、Google がセキュリティに関する情報をむやみに隠蔽したりせず、ありのままの情報を正しく公開しているからです。

      一方、Apple 信者は、Apple が審査・コードレビューしたアプリなのだから安全・安心だと無条件に信じ込んでしまっているところがあります。今回の件だって、Apple が実態を隠蔽しているので「ごく少数の感染アプリが紛れ込んでしまっただけ。Appleはそれを迅速に削除したのでもう安全だ」と信じ込んでいる Apple 信者も多いのでは?

      Apple のコードレビューは、マルウェアを防ぐ効果が殆ど無いのにも関わらず、まるで効果があるようにユーザーを錯覚させているというのもいけません。真実としては、Apple の審査・コードレビューというのは、中国政府によって都合の悪い情報を遮断する「金盾」のようなもので、Apple にとって都合の悪い情報を遮断するための存在にすぎないのです。

      親コメント
      • by Anonymous Coward on 2015年09月22日 14時50分 (#2887102)

        Android ユーザーの多くは、Playストアで配信されているアプリを安全だとは信じていないので、「アプリの公開元の会社や組織が信頼できるか」を重視しています。また、権限を確認したり、ウイルス対策ソフトを導入したり、レビューや評判情報を予め収集したりとできる限りの補助的な対策もとっています(補助的な対策では完全に安全なアプリであると判断することができないことも認識しています)。これは、Google がセキュリティに関する情報をむやみに隠蔽したりせず、ありのままの情報を正しく公開しているからです。

        自説を強化するためかなんか知らんけど、無茶なことを言いすぎだろ。
        Androidでも、一般の消費者は「Playストアで配信されているアプリを安全だとは信じている」よ。
        「アプリの公開元の会社や組織が信頼できるか」を重視しているかいないかは、今回の件と関係ないだろ。Wechatとかですらやられてんだし。
        「権限を確認したり」とあるけど、GoogleのPlayストアの権限表示が最悪で、デフォルトで重要権限の表示が省略されているし、普通の権限だと思っても組み合わせてやばくなるという話は、スラドでも何回も出てきた話題のはず。
        むしろ、一般の消費者は「Google がセキュリティに関する情報をむやみに隠蔽したりせず、ありのままの情報を正しく公開している」とか、信用できないと思っているよ。だから、iOSに流れるんだろ。

        親コメント
      • by Anonymous Coward on 2015年09月22日 15時10分 (#2887110)

        不正アプリ700万超 [yahoo.co.jp]」これだけ不正アプリが存在しても、「使用者が気を付けてますから大丈夫です」としか言えない(記事中でも、セキュリティ企業の広報が「個人の意識を高めていく必要がある」とか言っちゃってるし)Androidのどこが擁護できるんだよ。
        そりゃ、ノーガード戦法の方が提供側(Google)のリスクはないに決まってんだろ。

        親コメント
        • by Anonymous Coward

          Google Playのアプリ数は去年の時点で143万個。
          不正アプリの700万超というのは、どう考えてもGoogle Play以外のアプリを含んでいる。
          日本でGoogle Play以外からダウンロードして不正アプリに感染しても、自業自得だろ。

          AndroidがiOSよりマルウェアが多いのは否定しないが、そのうちのほとんどはGoogle Play以外のアプリだろ。
          Androidがマルウェアが多いという話は嘘ではないとしても誇張されている。
          なぜそうなるかといえば、ウイルス対策ソフトで商売している会社は、Androidがウイルスに弱い方が都合がいいから。
          iOSではウイルス対策ソフトを出せないからね。
          リンク先でトレンドマイクロ広報部シニアスペシャリストの鰆目(さわらめ)順介さんが「セキュリティーソフトを入れておくのが一番安心だが、」と書いているが、その前にGoogle Play以外からのアプリをインストールしないのが一番安心だといいたいね。

      • by Anonymous Coward

        > Apple のコードレビューは、マルウェアを防ぐ効果が殆ど無いのにも関わらず、まるで効果があるようにユーザーを錯覚させているというのもいけません。
        コードレビューはないよ。署名済みコンパイル済みバイナリの目視動作テストだけ。

        • by Anonymous Coward on 2015年09月22日 13時57分 (#2887082)

          ん?無いの?
          前のストーリーでさんざんコードレビューについてコメントされてるのに。

          # Appleはソースレベルでチェックしてるのかと感心してたのに。

          親コメント
          • by Anonymous Coward

            審査しているもの
            - UIのデザイン
            - 課金ルール
            - エロ(ダウンロードされるコンテンツも)
            - アプリ名
            - アンドキュメントなクラスやメソッド等の実行
            - リンクされてないフレームワークや機能を、使っていると自己申告している場合
            など

            審査されないもの
            - レビュワーの目のとどかない範囲でのUIのデザイン
            - 所定時間経過後(レビュー終了後)にエロ広告が出る場合など
            - アップロードの内容… ルール内でのマルウェア的行為(ユーザーの許可を取った上でアドレスブックの内容を全部サーバーに送る等)

            • by Anonymous Coward

              > - UIのデザイン
              縦横切替ただけでぶっ壊れて操作不能になるアプリが平気で公開されている現実。
              (おそらく審査をすり抜けるという意図もない只の技術不足)
              > - エロ(ダウンロードされるコンテンツも)
              「所定時間経過後(レビュー終了後)に」「メインコンテンツを差し替えて」エロにしたってケースが…
              > - アンドキュメントなクラスやメソッド等の実行
              > - リンクされてないフレームワークや機能を、使っていると自己申告している場合
              本件含め、色々やられているような?公式実装前の「テザリングアプリ」とかそんなんばっかり。
              > - アップロードの内容… ルール内でのマルウェア的行為
              > (ユーザーの許可を取った上でアドレスブックの内容を全部サーバーに送る等)
              許可「取らずに」全部抜き取ってた自称国産な韓国企業製アプリがありましたね。

              まぁ、ザルっていえばザルですわな。
              かと思えばどうでもいいことでリジェクトかけるからリジェクト対策マニュアルみたいなバッドノウハウも蓄積してるし。

          • by Anonymous Coward

            ソース提出は無いって前のストーリーに書いてあったと思うょ。

      • by Anonymous Coward

        信者って言っちゃう人の論説は、どんなにもっともらしく聞こえても無視するようにしてる。
        だってバイアスかかってることが一語で丸分かりなんだもん。

    • by miishika (12648) on 2015年09月22日 12時54分 (#2887040) 日記
      Appleは具体的な名称や数を明らかにしなくても
      「ごく少数のアプリ」とか平気で言えるからなあ
      親コメント
  • by Anonymous Coward on 2015年09月22日 12時40分 (#2887029)

    とアピールしていた時代もあったな(普及率が低いから相手にされてなかっただけだが)
    ヒットすれば狙われてこうなる事は自明

    • by Anonymous Coward on 2015年09月22日 12時42分 (#2887030)

      > 普及率が低いから相手にされてなかっただけだが

      おいWindows Phoneの傷口に塩を塗りこむのはやめろ

      親コメント
      • by Anonymous Coward

        大丈夫、ストアはWin8/10と共用だから汎用性の有るやつならどれにも入れるよ!

        # 嬉しくねぇ……
        # Windows Phone端末、もっと出てくれー

      • by Anonymous Coward

        一方WPの方は7.xの頃から、万一悪質なコードが含まれてた時のためにアプリはサンドボックス上で実行する設計になっている、と(確かエバンジェリストの人も)明言してました。バックグラウンド動作を制限してたのもマルウェアによる情報抜き取りを防ぐ意味合いも有ったとか言ってたような…。
        もっとも、今回みたいなフィッシング詐欺的な偽アラート画面にはサンドボックスも効果無さそうですが…。

        # 意識高い系ユーザーが通報→「規約違反だから削除するね^^」のコンボに期待するしか無いのか…?

        • 日本では通報した人の方が「欠陥を見つけるために、規約違反にあたることをやったに
          違いない」と言いがかりをつけられて告訴される確率の方が高いような気がする。
          親コメント
        • by Anonymous Coward

          なんかサンドボックスの意味を勘違いしてうような気がするけど…
          素でアクセスできる機能・APIを仮想化で制限して影響範囲を切り分けるだけです。
          電話帳やメールなど保護したいデータが見せる領域なら当然見えてます。
          画面遷移云々は余り関係が無いです。

          # 仮想化のレベルの低いサンドボックスは制限されたAPIサブセットと対して違わない。

    • by Anonymous Coward

      公式ストアの審査を通過した脆弱性も隠しAPIも使わない署名済みマルウェアってちょっと話が違うと思うんだけど
      コード自体じゃなくて開発者の意図に悪意があるっていうのは

      • by Anonymous Coward

        開発環境が汚染されてるんだから開発者に悪意は無いんじゃ?

    • by Anonymous Coward

      iPhoneの普及率は高が知れてるでしょ
      富裕層がよく使ってるから仕掛けると効率いいだけ

      • by Anonymous Coward

        独占禁止法で取り締まってほしいとき以外は高が知れてるんですよね。
        # どこぞの自称発展途上国かよ

    • by Anonymous Coward

      初期のマックの頃は、ウィルスといえばマック、みたいな雰囲気が合った気が。
      フロッピーディスク使った違法コピーしまくりで。

  • by Anonymous Coward on 2015年09月22日 12時43分 (#2887034)

    login.cをコンパイルする時だけバックドアコード埋め込むとかね。

    • by Anonymous Coward on 2015年09月22日 22時00分 (#2887279)

      ケン・トンプソンのバックドアはさらに周到。
      ざっと聞いたところでは、コンパイラでコンパイラをコンパイルするときに、「新しいコンパイラがlogin.cをコンパイルするとき、バックドアを埋め込む機能」を埋め込んでしまう隠し機能をコンパイラに埋め込んでいた、とか。

      しかもその隠し機能を元コンパイラのソースから削除して配布した、かどうかは確認できてませんが。

      ともかく、その結果login.cにもccのソースにもバックドアはないが、配布されたコンパイラや、それでコンパイルされたコンパイラにより、配布されたシステムすべてにバックドアができてしまった...と聞きましたっけ。

      ちゃんと読めてる自信ないけど、Jargon File の"Back door"の項目を。
      http://catb.org/jargon/html/B/back-door.html [catb.org]

      親コメント
  • by Anonymous Coward on 2015年09月22日 12時40分 (#2887028)

    悪意のあるコードって、具体的にどういう動作になるわけ?
    iOSではカメラの起動にすら初回は認証いるんだし、悪意を持ってなにができるのかな。
    アプリ固有のフレームワークを追加したところで、結局アプリ権限でしか動作しないでしょう。

    バックグラウンド動作もまあできることは限られてるし、キーロガーやスクリーンショット撮影、
    ユーザーデータの盗み出しやボットネット構築なんてやりようがないと思うんだけど。
    あ、クリップボードぐらいは取られるかな。

    それともOSの脆弱性を突くコードでも含まれてて、何でも動くようになってたとか?

    • by Anonymous Coward

      2つ前のストーリーに書いてあるんだけど。

      悪意のあるコードに感染したiOSアプリは実行時にシステムやアプリの情報を収集してC&Cサーバーに送信する。また、ユーザーの認証情報をだまし取るために偽のアラートダイアログを表示するほか、特定のURLを乗っ取ってiOSやiOSアプリの脆弱性を攻撃したり、クリップボードのデータを読み書きしたりすることも可能だという。

  • by Anonymous Coward on 2015年09月22日 12時57分 (#2887045)

    そういうこともあるさ

    • by Anonymous Coward

      放っておいてもApple社が勝手にアンインストールするだろうし
      気にしたら敗け、と思う

  • by Anonymous Coward on 2015年09月22日 13時09分 (#2887053)

    T/O

    以下余談
    それらは、150万を超える「選び抜かれた」「圧倒的な」「驚異的な」「スマートフォンでこんなことまで出来るんだ的な」アプリケーションに含まれますか?

    #「脅威的」なのは確かなのだがw

  • by Anonymous Coward on 2015年09月22日 13時47分 (#2887076)

    iOSは安全安心Androidは危険不安と100万回唱えろ
    話はそれからだ唱えてないアンチの意見なんてまったく聞き入れる必要はない

    • by Anonymous Coward

      アンチの意見なんてまったく聞き入れる必要はない

      つまり貴方の意見も聞き入れる必要は無いと…w

      # 大した脈絡もなく、信仰心が足りないとか煽るのは流石に…。

  • by Anonymous Coward on 2015年09月22日 17時49分 (#2887156)

    一応、同じアプリでも「中国のApp Storeからダウンロードした」ヤツだけらしいけど、
    (Angry Bird2等は正式にそういう声明を出してます)
    偽Xcodeから申請する流れを考えるとそうかもしれないが、まあ詳細を知りたいところですな。

    こういうニュースは続報の方が重要だと思います。
    速報のタイトルや内容はどうしても「キャッチーかつ情報不足なもの」になるからね…
    あと有志のJailBreaker達によるスキャンアプリも配布されていますな。それ系で。
    つーことはApple側でも把握して一括削除できると。すでにしている模様ですが。

    • 基本的にはAngry Birds 2限定の話ですね。Angry Birds 2は中国語版が別ビルドで、さらに中国版と香港版も個別のビルドになっていて、それぞれ違うアプリIDが割り当てられていました。多くのアプリは多国語ビルドなので、中国のApp Store以外からインストールしたものが安全とは限りません。一括削除というのは、端末内のアプリをAppleがリモートから削除し始めているということですか。情報源はどこでしょうか。
      親コメント
  • ついでに言うと (スコア:0, おもしろおかしい)

    by Anonymous Coward on 2015年09月22日 17時53分 (#2887160)

    こういう問題をすぐに信者だのなんだのという話に持っていって
    他人を嘲笑いたい人って、ホント面倒だなあと思う。

    たぶん現実世界では「とってもイイ人」なんだろうけどね笑

    • by Anonymous Coward on 2015年09月22日 18時04分 (#2887163)

      >信者だのなんだの
       
      現時点では、君を含めて二人しかそんなこと言ってないんだが
      もしかして面倒なのはあなた自身ではないでしょうか?

      親コメント
  • by Anonymous Coward on 2015年09月23日 10時38分 (#2887420)

    え、と思ってAppStoreで検索したところ、ボタンが「入手」でバージョンは9.4.0。
    インストールされたものは9.1.0で、開発元も違うようだ。
    いつの間に移っていたんだろう。
    そして、今回問題になってるのは移行後のものかな。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...