.

"Táo bị sâu", người dùng iPhone và iPad gặp nguy

.

Một cuộc tấn công lớn tinh vi từ hacker khiến Apple phải gỡ hàng trăm ứng dụng iPhone, iPad nhiễm mã độc trên chợ ứng dụng App Store.

Chợ ứng dụng Apple App Store gặp mối nguy hại lớn gây ra bởi mã độc XcodeGhost - Ảnh minh họa: IrishTimes
Chợ ứng dụng Apple App Store gặp mối nguy hại lớn gây ra bởi mã độc XcodeGhost - Ảnh minh họa: IrishTimes

Mã độc và ứng dụng gây hại là "đặc sản" của nền tảng Android cũng như xuất hiện thường hơn ở chợ ứng dụng Google Play cùng các kênh phát hành ứng dụng Android, thì nay chợ ứng dụng App Store của Apple dành cho người dùng iPhone và iPad cũng không còn là ngoại lệ.

Chợ ứng dụng Apple App Store có chế độ kiểm tra rất chặt chẽ nhưng đã bị hacker qua mặt thành công. Khám phá từ các nhà nghiên cứu bảo mật tại Alibaba (Trung Quốc) cho thấy một cuộc tấn công quy mô lớn nhất từ trước đến nay nhắm vào chợ ứng dụng Apple App Store của tội phạm mạng đã diễn ra trót lọt, ảnh hưởng đến vài trăm ứng dụng đang có mặt trên App Store, đe dọa hàng triệu người dùng iPhone và iPad đã tải các ứng dụng này.

Loại mã độc lây nhiễm vào các ứng dụng iOS được các nhà nghiên cứu từ Alibaba đặt tên XcodeGhost (tạm dịch: Bóng ma Xcode).

Khi đã thâm nhập vào iPhone hay iPad của người dùng qua ứng dụng hợp pháp tải từ App Store, XcodeGhost âm thầm thu thập dữ liệu quan trọng của thiết bị và ứng dụng nạn nhân cài đặt bao gồm cả mật khẩu iCloud, gửi về máy chủ do tội phạm mạng điều khiển.

Nạn nhân không hề hay biết gì vì đó là những ứng dụng hợp pháp tải từ Apple App Store. Nguy hiểm hơn, mã độc tiếp tục lây nhiễm vào các ứng dụng khác cài trên thiết bị và tiếp tục đánh cắp dữ liệu.

XcodeGhost là mã độc thứ sáu "vượt rào" thành công trước hệ thống bảo mật chặt chẽ của chợ ứng dụng Apple App Store. Các mã độc trước đó gồm LBTM, InstaStock, FindAndCall, Jekyll và FakeTor.

Người dùng tải ứng dụng hợp pháp từ Apple App Store vẫn trở thành nạn nhân của XcodeGhost - Ảnh minh họa: Arstechnica
Người dùng tải ứng dụng hợp pháp từ Apple App Store vẫn trở thành nạn nhân của XcodeGhost - Ảnh minh họa: Arstechnica

Lây nhiễm tinh vi, "mượn tay" phát tán

Theo điều tra chi tiết của nhóm nghiên cứu bảo mật từ Công ty Palo Alto Networks (Mỹ), tên gọi XcodeGhost bắt nguồn từ cách thức mã độc này được tội phạm mạng cấy vào ứng dụng iOS. Hacker không trực tiếp làm điều này, thay vào đó chúng nhúng XcodeGhost vào phần mềm Xcode chuyên dùng để tạo ra các ứng dụng hợp pháp, "mượn tay" các nhà phát triển ứng dụng hợp pháp phát tán mã độc.

Xcode là công cụ phát triển ứng dụng iOS/OS X do Apple phát hành miễn phí từ website Apple rất được giới phát triển ưa chuộng. Tuy nhiên, Xcode còn được chia sẻ qua các diễn đàn cộng đồng phát triển cung cấp kèm theo các gói mã lệnh mở rộng hoặc để tiết kiệm thời gian tải (download) 3GB tập tin cài đặt Xcode từ website Apple từ Trung Quốc.

Một trong số đó là dịch vụ chia sẻ dữ liệu trên nền "đám mây" Baidu Yunpan (Trung Quốc) lưu trữ một số phiên bản Xcode tùy biến "tặng kèm" mã độc cho cộng đồng phát triển ứng dụng iOS/OS X của Trung Quốc tải về sử dụng.

Theo các nhà nghiên cứu từ Palo Alto Networks, Baidu đã gỡ bỏ tất cả các file Xcode trên dịch vụ chia sẻ dữ liệu công cộng của mình.

WeChat, một trong những ứng dụng có lượng người dùng đông đảo nhiễm XcodeGhost - Ảnh minh họa: Internet
WeChat, một trong những ứng dụng có lượng người dùng đông đảo nhiễm XcodeGhost - Ảnh minh họa: Internet

Hàng loạt ứng dụng bị gỡ bỏ

Không khỏi giựt mình khi những ứng dụng nhiễm mã độc XcodeGhost bị Apple gỡ bỏ khỏi App Store bao gồm những cái tên có hàng triệu đến hàng chục triệu người tải dùng như WeChat hiện có 600 triệu người sử dụng, ứng dụng Uber-phiên bản Trung Quốc Didi Kuaidi, ứng dụng truyền tải nhạc NetEase, chỉnh sửa ảnh Perfect365, CamCard, đặc biệt là ứng dụng chính thức dùng để đặt vé xe lửa tại Trung Quốc là Railway 12306 cũng "nhiễm bệnh", hay ứng dụng China Unicom Mobile Office của nhà mạng lớn nhất Trung Quốc China Mobile, ứng dụng giao dịch chứng khoán Tonghuashun.

Đáng chú ý, danh sách ứng dụng nhiễm mã độc bao gồm cả những cái tên không xuất xứ từ Trung Quốc như WinZip, Musical.ly, hay trình duyệt Mercury, CamScanner Lite/Pro, PocketScanner, OPlayer Lite, Wallpapers10000....

Theo đại diện phát ngôn của Apple Christine Monaghan trả lời phỏng vấn báo The Guardian (Anh) cho biết Apple đã gỡ bỏ các ứng dụng được cho là tạo ra từ phiên bản Xcode nhiễm mã độc. Tuy nhiên, đại diện Apple không cung cấp con số cụ thể.

Một thống kê khác từ công ty bảo mật Trung Quốc Qihoo360 Technology cho thấy có đến 344 ứng dụng nhiễm mã độc XcodeGhost.

Một số chủ nhân "vô tình" của những ứng dụng nhiễm độc đã lên tiếng như Tencent cho biết WeChat đã được cập nhật khắc phục sự cố bảo mật, "không có thông tin tài chính từ ví điện tử TenPay bị thất thoát và Tencent tiếp tục theo dõi sát sao".

"XcodeGhost có thể đọc trộm mật khẩu lưu trong két sắt 1Password từ bộ nhớ đệm của thiết bị (clipboard) khi người dùng sao chép (copy) mật khẩu"

"Rất khó để người dùng lẫn các nhà phát triển ứng dụng iOS cảnh giác về loại mã độc XcodeGhost hay dạng tấn công tương tự vì chúng ẩn rất sâu, qua mặt được hệ thống kiểm tra mã nguồn của Apple App Store. Do đó, các lập trình viên chỉ nên dùng ứng dụng Xcode tải từ chính website Apple"

"Chiến thuật tấn công này có thể bị tội phạm mạng vận dụng theo nhiều hướng nguy hiểm hơn để tấn công các ứng dụng iOS (iPhone / iPad) hay ứng dụng OS X (Mac) trong môi trường doanh nghiệp"

Công ty Palo Alto Networks

Theo Thanh Trực (Tuổi trẻ)

;
.
.
.
.
.