[PR] ThaiCERT เตือนระวังภัย พบโปรแกรม Xcode ปลอม แอบฝังโค้ดอันตรายลงแอป iOS ผู้ใช้ WeChat ได้รับผลกระทบ

22 กันยายน 2558 — สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ( องค์การมหาชน ) ( สพธอ. ) หรือ ETDA ( เอ็ตด้า ) กระทรวงไอซีที โดย ThaiCERT ( ไทยเซิร์ต ) แจ้งว่านักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Palo Alto Networks สหรัฐอเมริกา ได้รายงานการค้นพบมัลแวร์ชื่อ XcodeGhost ซึ่งเป็นการนำโปรแกรม Xcode ของ Apple มาแก้ไขใหม่ โดยให้โปรแกรม Xcode แอบเพิ่มโค้ดอันตรายลงในแอปพลิเคชัน iOS ที่นักพัฒนาเผยแพร่ด้วย ซึ่งโค้ดอันตรายดังกล่าวมีทั้งแอบขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้ และรหัสผ่าน

malware_1

ทั้งนี้ Xcode เป็นโปรแกรมสำหรับใช้พัฒนาแอปพลิเคชันบนระบบปฎิบัติการณ์ iOS ซึ่งโปรแกรมนี้ต้องติดตั้งบนระบบปฏิบัติการ Mac OS X เนื่องจากไฟล์ติดตั้งโปรแกรม Xcode มีขนาดใหญ่ และนักพัฒนาต้องดาวน์โหลดโปรแกรมนี้มาจากเซิร์ฟเวอร์ของ Apple ซึ่งหลาย ๆ ภูมิภาคในประเทศจีนนั้นการเชื่อมต่ออินเทอร์เน็ตไปยังเซิร์ฟเวอร์ต่างประเทศเป็นไปได้ช้า ทำให้นักพัฒนาบางส่วนเลือกที่จะดาวน์โหลดซอฟต์แวร์จากแหล่งดาวน์โหลดภายในประเทศแทน

จากรายงานของบริษัท Palo Alto Networks ระบุว่ามีผู้อัปโหลดโปรแกรม Xcode เวอร์ชันดัดแปลงขึ้นไปไว้บนเซิร์ฟเวอร์ที่ให้บริการฝากไฟล์แห่งหนึ่งในประเทศจีน โดยโปรแกรม Xcode เวอร์ชันดัดแปลงนี้จะลักลอบเพิ่มโค้ดลงในแอปพลิเคชัน iOS ที่ผู้ใช้พัฒนาอยู่ เมื่อมีการคอมไพล์ซอร์สโค้ดโปรแกรม Xcode จะใส่โค้ดสำหรับขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้และรหัสผ่านลงในแอปพลิเคชันนั้นด้วย ซึ่งกรณีนี้นักพัฒนาจะไม่ทราบถึงความผิดปกติ และเมื่อมีการส่งแอปพลิเคชันขึ้นไปบน App Store ก็มีโอกาสที่จะผ่านกระบวนการตรวจสอบของ Apple และสามารถถูกดาวน์โหลดไปติดตั้งลงในเครื่องของผู้ใช้ได้โดยง่าย ซึ่งในกรณีนี้ ผู้ใช้งานอุปกรณ์ iOS ที่ไม่ได้ Jailbreak ก็สามารถติดมัลแวร์ได้

ทางบริษัท Palo Alto Networks ได้เปิดเผยรายชื่อแอปพลิเคชันที่ได้รับผลกระทบจากการที่นักพัฒนาใช้โปรแกรม Xcode เวอร์ชันดัดแปลง โดยหนึ่งในนั้นมีรายชื่อแอปพลิเคชัน WeChat ซึ่งเป็นแอปพลิเคชันสนทนาที่มีผู้ใช้งานในประเทศไทยพอสมควร

ผลกระทบ

ผู้ใช้งานอุปกรณ์ iOS ซึ่งทำการติดตั้งแอปพลิเคชันที่ถูกแอบฝังโค้ดอันตราย อาจถูกขโมยข้อมูลส่วนตัวหรือถูกหลอกขโมยชื่อผู้ใช้และรหัสผ่านได้

ระบบที่ได้รับผลกระทบ

ผู้ใช้งานอุปกรณ์ iOS ที่ติดตั้งแอปพลิเคชันที่ถูกแอบฝังโค้ดอันตราย โดยทาง Palo Alto Networks Fox-it แจ้งว่ามีประมาณมากกว่า 50 แอปพลิเคชัน [1] ตัวอย่างรายชื่อแอปพลิเคชันที่ได้รับผลกระทบ เช่น

  • WeChat เวอร์ชัน 2.5 [3]
  • WinZip
  • CamScanner
  • CamCard
  • Oplayer
  • PDFReader
  • Perfect365

ข้อแนะนำในการป้องกันและแก้ไข

ปัจจุบันโปรแกรม Xcode เวอร์ชันดัดแปลงถูกลบออกจากเซิร์ฟเวอร์ที่ให้บริการฝากไฟล์ดังกล่าวแล้ว รวมถึงแอปพลิเคชัน iOS ที่ติดมัลแวร์ก็ถูก Apple นำถอดออกจาก App Store เป็นการชั่วคราวแล้วเช่นกัน

สำหรับนักพัฒนา ควรตรวจสอบว่าดาวน์โหลดโปรแกรม Xcode หรือโปรแกรมอื่น ๆ ที่ใช้ในการพัฒนาแอปพลิเคชัน จากแหล่งที่มาที่น่าเชื่อถือ เช่น จากเว็บไซต์ของผู้พัฒนาโดยตรง หากพบว่าโปรแกรมที่ติดตั้งอยู่มาจากแหล่งที่มาที่ไม่แน่ใจ ควรถอนการติดตั้งและดาวน์โหลดมาติดตั้งใหม่

สำหรับผู้ใช้งานอุปกรณ์ iOS ควรตรวจสอบรายชื่อแอปพลิเคชันที่ได้รับผลกระทบ หากยังไม่มีการเผยแพร่อัปเดต ควรลบแอปพลิเคชันดังกล่าวออกจากเครื่องก่อนเพื่อความปลอดภัย

หมายเหตุ: ปัจจุบันผู้พัฒนาแอปพลิเคชัน WeChat มีการประกาศอัปเดตเวอร์ชันที่มีการแก้ไขปัญหาแล้ว ผู้ใช้งานสามารถอัปเดตเป็นเวอร์ชัน 6.2.6 ได้ทันที ตามประกาศ

wechat-apple


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft ประกาศเพิ่มความสามารถ Conditional Access ให้ 365 Business

Microsoft ได้ประกาศเพิ่มความสามารถด้านความมั่นคงปลอดภัยอย่าง Azure AD Conditional Access ให้แก่ผู้ใช้งาน 365 Business แล้วซึ่งสามารถกำหนดการเข้าถึงตามเงื่อนไข เช่น พิกัดของผู้ใช้หรืออุปกรณ์เข้าใช้ ข้อมูล หรือแอปพลิเคชัน เป็นต้น

แจกฟรีเครื่องมือ Decryptor มัลแวร์เรียกค่าไถ่ GandCrap 5.2

ในที่สุดก็มีการปล่อย GandCrap Decryptor เวอร์ชัน 5.2 ออกมาให้ใช้ได้ฟรีแล้ว จากการผนึกกำลังกันระหว่างหน่วยงานทางกฏหมายของหลายประเทศ ทั้งนี้ (คาดว่า) น่าจะเป็นเวอร์ชันสุดท้ายเพราะคนร้ายเบื้องหลังได้ประกาศเกษียณหลังจากทำรายได้เข้ากระเป๋าตัวเองไปได้กว่า 150 ล้านเหรียญสหรัฐฯ ต่อปี