ThaiCERT เตือนระวังภัย พบโปรแกรม Xcode ปลอม แอบฝังโค้ดอันตรายลงแอป iOS ผู้ใช้ WeChat ได้รับผลกระทบ
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงไอซีที โดย ThaiCERT (ไทยเซิร์ต) แจ้งว่านักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Palo Alto Networks สหรัฐอเมริกา ได้รายงานการค้นพบมัลแวร์ชื่อ XcodeGhost ซึ่งเป็นการนำโปรแกรม Xcode ของ Apple มาแก้ไขใหม่ โดยให้โปรแกรม Xcode แอบเพิ่มโค้ดอันตรายลงในแอปพลิเคชัน iOS ที่นักพัฒนาเผยแพร่ด้วย ซึ่งโค้ดอันตรายดังกล่าวมีทั้งแอบขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้/รหัสผ่าน
ทั้งนี้ Xcode เป็นโปรแกรมสำหรับใช้พัฒนาแอปพลิเคชันบนระบบปฎิบัติการณ์ iOS ซึ่งโปรแกรมนี้ต้องติดตั้งบนระบบปฏิบัติการ Mac OS X เนื่องจากไฟล์ติดตั้งโปรแกรม Xcode มีขนาดใหญ่ และนักพัฒนาต้องดาวน์โหลดโปรแกรมนี้มาจากเซิร์ฟเวอร์ของ Apple ซึ่งหลายๆ ภูมิภาคในประเทศจีนนั้นการเชื่อมต่ออินเทอร์เน็ตไปยังเซิร์ฟเวอร์ต่างประเทศเป็นไปได้ช้า ทำให้นักพัฒนาบางส่วนเลือกที่จะดาวน์โหลดซอฟต์แวร์จากแหล่งดาวน์โหลดภายในประเทศแทน
จากรายงานของบริษัท Palo Alto Networks ระบุว่ามีผู้อัปโหลดโปรแกรม Xcode เวอร์ชันดัดแปลงขึ้นไปไว้บนเซิร์ฟเวอร์ที่ให้บริการฝากไฟล์แห่งหนึ่งในประเทศจีน โดยโปรแกรม Xcode เวอร์ชันดัดแปลงนี้จะลักลอบเพิ่มโค้ดลงในแอปพลิเคชัน iOS ที่ผู้ใช้พัฒนาอยู่ เมื่อมีการคอมไพล์ซอร์สโค้ดโปรแกรม Xcode จะใส่โค้ดสำหรับขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้/รหัสผ่านลงในแอปพลิเคชันนั้นด้วย ซึ่งกรณีนี้นักพัฒนาจะไม่ทราบถึงความผิดปกติ และเมื่อมีการส่งแอปพลิเคชันขึ้นไปบน App Store ก็มีโอกาสที่จะผ่านกระบวนการตรวจสอบของ Apple และสามารถถูกดาวน์โหลดไปติดตั้งลงในเครื่องของผู้ใช้ได้โดยง่าย ซึ่งในกรณีนี้ ผู้ใช้งานอุปกรณ์ iOS ที่ไม่ได้ Jailbreak ก็สามารถติดมัลแวร์ได้
ทางบริษัท Palo Alto Networks ได้เปิดเผยรายชื่อแอปพลิเคชันที่ได้รับผลกระทบจากการที่นักพัฒนาใช้โปรแกรม Xcode เวอร์ชันดัดแปลง โดยหนึ่งในนั้นมีรายชื่อแอปพลิเคชัน WeChat ซึ่งเป็นแอปพลิเคชันสนทนาที่มีผู้ใช้งานในประเทศไทยพอสมควร
ผลกระทบ
ผู้ใช้งานอุปกรณ์ iOS ซึ่งทำการติดตั้งแอปพลิเคชันที่ถูกแอบฝังโค้ดอันตราย อาจถูกขโมยข้อมูลส่วนตัวหรือถูกหลอกขโมยชื่อผู้ใช้/รหัสผ่านได้
ระบบที่ได้รับผลกระทบ
ผู้ใช้งานอุปกรณ์ iOS ที่ติดตั้งแอปพลิเคชันที่ถูกแอบฝังโค้ดอันตราย โดยทาง Palo Alto Networks Fox-it แจ้งว่ามีประมาณมากกว่า 50 แอปพลิเคชัน ตัวอย่างรายชื่อแอปพลิเคชันที่ได้รับผลกระทบ เช่น
§ WeChat เวอร์ชัน 6.2.5
§ WinZip
§ CamScanner
§ CamCard
§ Oplayer
§ PDFReader
§ Perfect365
ข้อแนะนำในการป้องกันและแก้ไข
ปัจจุบันโปรแกรม Xcode เวอร์ชันดัดแปลงถูกลบออกจากเซิร์ฟเวอร์ที่ให้บริการฝากไฟล์ดังกล่าวแล้ว[1] รวมถึงแอปพลิเคชัน iOS ที่ติดมัลแวร์ก็ถูก Apple นำถอดออกจาก App Store เป็นการชั่วคราวแล้วเช่นกัน