Breaking News

[PR] ThaiCERT เตือนระวังภัย พบโปรแกรม Xcode ปลอม แอบฝังโค้ดอันตรายลงแอป iOS ผู้ใช้ WeChat ได้รับผลกระทบ

22 กันยายน 2558 — สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ( องค์การมหาชน ) ( สพธอ. ) หรือ ETDA ( เอ็ตด้า ) กระทรวงไอซีที โดย ThaiCERT ( ไทยเซิร์ต ) แจ้งว่านักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Palo Alto Networks สหรัฐอเมริกา ได้รายงานการค้นพบมัลแวร์ชื่อ XcodeGhost ซึ่งเป็นการนำโปรแกรม Xcode ของ Apple มาแก้ไขใหม่ โดยให้โปรแกรม Xcode แอบเพิ่มโค้ดอันตรายลงในแอปพลิเคชัน iOS ที่นักพัฒนาเผยแพร่ด้วย ซึ่งโค้ดอันตรายดังกล่าวมีทั้งแอบขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้ และรหัสผ่าน

malware_1

ทั้งนี้ Xcode เป็นโปรแกรมสำหรับใช้พัฒนาแอปพลิเคชันบนระบบปฎิบัติการณ์ iOS ซึ่งโปรแกรมนี้ต้องติดตั้งบนระบบปฏิบัติการ Mac OS X เนื่องจากไฟล์ติดตั้งโปรแกรม Xcode มีขนาดใหญ่ และนักพัฒนาต้องดาวน์โหลดโปรแกรมนี้มาจากเซิร์ฟเวอร์ของ Apple ซึ่งหลาย ๆ ภูมิภาคในประเทศจีนนั้นการเชื่อมต่ออินเทอร์เน็ตไปยังเซิร์ฟเวอร์ต่างประเทศเป็นไปได้ช้า ทำให้นักพัฒนาบางส่วนเลือกที่จะดาวน์โหลดซอฟต์แวร์จากแหล่งดาวน์โหลดภายในประเทศแทน

จากรายงานของบริษัท Palo Alto Networks ระบุว่ามีผู้อัปโหลดโปรแกรม Xcode เวอร์ชันดัดแปลงขึ้นไปไว้บนเซิร์ฟเวอร์ที่ให้บริการฝากไฟล์แห่งหนึ่งในประเทศจีน โดยโปรแกรม Xcode เวอร์ชันดัดแปลงนี้จะลักลอบเพิ่มโค้ดลงในแอปพลิเคชัน iOS ที่ผู้ใช้พัฒนาอยู่ เมื่อมีการคอมไพล์ซอร์สโค้ดโปรแกรม Xcode จะใส่โค้ดสำหรับขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้และรหัสผ่านลงในแอปพลิเคชันนั้นด้วย ซึ่งกรณีนี้นักพัฒนาจะไม่ทราบถึงความผิดปกติ และเมื่อมีการส่งแอปพลิเคชันขึ้นไปบน App Store ก็มีโอกาสที่จะผ่านกระบวนการตรวจสอบของ Apple และสามารถถูกดาวน์โหลดไปติดตั้งลงในเครื่องของผู้ใช้ได้โดยง่าย ซึ่งในกรณีนี้ ผู้ใช้งานอุปกรณ์ iOS ที่ไม่ได้ Jailbreak ก็สามารถติดมัลแวร์ได้

ทางบริษัท Palo Alto Networks ได้เปิดเผยรายชื่อแอปพลิเคชันที่ได้รับผลกระทบจากการที่นักพัฒนาใช้โปรแกรม Xcode เวอร์ชันดัดแปลง โดยหนึ่งในนั้นมีรายชื่อแอปพลิเคชัน WeChat ซึ่งเป็นแอปพลิเคชันสนทนาที่มีผู้ใช้งานในประเทศไทยพอสมควร

ผลกระทบ

ผู้ใช้งานอุปกรณ์ iOS ซึ่งทำการติดตั้งแอปพลิเคชันที่ถูกแอบฝังโค้ดอันตราย อาจถูกขโมยข้อมูลส่วนตัวหรือถูกหลอกขโมยชื่อผู้ใช้และรหัสผ่านได้

ระบบที่ได้รับผลกระทบ

ผู้ใช้งานอุปกรณ์ iOS ที่ติดตั้งแอปพลิเคชันที่ถูกแอบฝังโค้ดอันตราย โดยทาง Palo Alto Networks Fox-it แจ้งว่ามีประมาณมากกว่า 50 แอปพลิเคชัน [1] ตัวอย่างรายชื่อแอปพลิเคชันที่ได้รับผลกระทบ เช่น

  • WeChat เวอร์ชัน 2.5 [3]
  • WinZip
  • CamScanner
  • CamCard
  • Oplayer
  • PDFReader
  • Perfect365

ข้อแนะนำในการป้องกันและแก้ไข

ปัจจุบันโปรแกรม Xcode เวอร์ชันดัดแปลงถูกลบออกจากเซิร์ฟเวอร์ที่ให้บริการฝากไฟล์ดังกล่าวแล้ว รวมถึงแอปพลิเคชัน iOS ที่ติดมัลแวร์ก็ถูก Apple นำถอดออกจาก App Store เป็นการชั่วคราวแล้วเช่นกัน

สำหรับนักพัฒนา ควรตรวจสอบว่าดาวน์โหลดโปรแกรม Xcode หรือโปรแกรมอื่น ๆ ที่ใช้ในการพัฒนาแอปพลิเคชัน จากแหล่งที่มาที่น่าเชื่อถือ เช่น จากเว็บไซต์ของผู้พัฒนาโดยตรง หากพบว่าโปรแกรมที่ติดตั้งอยู่มาจากแหล่งที่มาที่ไม่แน่ใจ ควรถอนการติดตั้งและดาวน์โหลดมาติดตั้งใหม่

สำหรับผู้ใช้งานอุปกรณ์ iOS ควรตรวจสอบรายชื่อแอปพลิเคชันที่ได้รับผลกระทบ หากยังไม่มีการเผยแพร่อัปเดต ควรลบแอปพลิเคชันดังกล่าวออกจากเครื่องก่อนเพื่อความปลอดภัย

หมายเหตุ: ปัจจุบันผู้พัฒนาแอปพลิเคชัน WeChat มีการประกาศอัปเดตเวอร์ชันที่มีการแก้ไขปัญหาแล้ว ผู้ใช้งานสามารถอัปเดตเป็นเวอร์ชัน 6.2.6 ได้ทันที ตามประกาศ

wechat-apple



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Secure Remote Workforce with Fortinet

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย Fortinet Webinar เรื่อง “Secure Remote Workforce with Fortinet” พร้อมสาธิตการนำ FortiGate, FortiClient และ FortiToken มาใช้ทำ …

Hitachi Vantara Webinar: Enterprise Object-based Storage & Work from Home with HCP Solution

Hitachi Vantara ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าร่วมฟังบรรยาย Hitachi Vantara Webinar เรื่อง “Enterprise Object-based Storage & Work from …