ระวังภัย!! พบโปรแกรม Xcode ปลอมแอบฝังโค้ดอันตรายลงในแอป iOS มีแอพดัง WeChat และ Angry Birds 2 ด้วย
เว็บไซต์ Thaicert แจ้งเตือนเมื่อวันที่ 17 กันยายน 2558 นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Palo Alto Networks สหรัฐอเมริกา ได้รายงานการค้นพบมัลแวร์ชื่อ XcodeGhost ซึ่งเป็นการนำโปรแกรม Xcode ของ Apple มาแก้ไขใหม่ โดยให้โปรแกรม Xcode แอบเพิ่มโค้ดอันตรายลงในแอปพลิเคชัน iOS ที่นักพัฒนาเผยแพร่ด้วย ซึ่งโค้ดอันตรายดังกล่าวมีทั้งแอบขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้/รหัสผ่าน
Xcode เป็นโปรแกรมสำหรับใช้พัฒนาแอปพลิเคชันบนระบบปฎิบัติการณ์ iOS ซึ่งโปรแกรมนี้ต้องติดตั้งบนระบบปฏิบัติการ Mac OS X เนื่องจากไฟล์ติดตั้งโปรแกรม Xcode มีขนาดใหญ่ และนักพัฒนาต้องดาวน์โหลดโปรแกรมนี้มาจากเซิร์ฟเวอร์ของ Apple ซึ่งหลายๆ ภูมิภาคในประเทศจีนนั้นการเชื่อมต่ออินเทอร์เน็ตไปยังเซิร์ฟเวอร์ต่างประเทศเป็นไปได้ช้า ทำให้นักพัฒนาบางส่วนเลือกที่จะดาวน์โหลดซอฟต์แวร์จากแหล่งดาวน์โหลดภายในประเทศแทน
จากรายงานของบริษัท Palo Alto Networks ระบุว่ามีผู้อัปโหลดโปรแกรม Xcode เวอร์ชันดัดแปลงขึ้นไปไว้บนเซิร์ฟเวอร์ที่ให้บริการฝากไฟล์แห่งหนึ่งในประเทศจีน โดยโปรแกรม Xcode เวอร์ชันดัดแปลงนี้จะลักลอบเพิ่มโค้ดลงในแอปพลิเคชัน iOS ที่ผู้ใช้พัฒนาอยู่ เมื่อมีการคอมไพล์ซอร์สโค้ดโปรแกรม Xcode จะใส่โค้ดสำหรับขโมยข้อมูลส่วนตัวหรือหลอกขโมยชื่อผู้ใช้/รหัสผ่านลงในแอปพลิเคชันนั้นด้วย ซึ่งกรณีนี้นักพัฒนาจะไม่ทราบถึงความผิดปกติ และเมื่อมีการส่งแอปพลิเคชันขึ้นไปบน App Store ก็มีโอกาสที่จะผ่านกระบวนการตรวจสอบของ Apple และสามารถถูกดาวน์โหลดไปติดตั้งลงในเครื่องของผู้ใช้ได้โดยง่าย ซึ่งในกรณีนี้ ผู้ใช้งานอุปกรณ์ iOS ที่ไม่ได้ Jailbreak ก็สามารถติดมัลแวร์ได้
ทางบริษัท Palo Alto Networks ได้เปิดเผยรายชื่อแอปพลิเคชันที่ได้รับผลกระทบจากการที่นักพัฒนาใช้โปรแกรม Xcode เวอร์ชันดัดแปลง โดยหนึ่งในนั้นมีรายชื่อแอปพลิเคชัน WeChat ซึ่งเป็นแอปแชตที่มีผู้ใช้งานในประเทศไทยพอสมควร และรายชื่อแอปบางส่วนดังต่อไปนี้
- Didi Chuxing
- Angry Birds 2
- NetEase
- Micro Channel
- Apple
- IFlyTek input
- Railway 12306 (the only official app used for buying train tickets in China)
- The Kitchen
- Card Safe
- CITIC Bank move card space
- China Unicom Mobile Office
- High German map
- Jane book
- Eyes Wide
- Lifesmart
- Mara Mara
- Medicine to force
- Himalayan
- Pocket billing
- Flush
- Quick asked the doctor
- Lazy weekend
- Microblogging camera
- Watercress reading
- CamScanner
- CamCard (a very popular business-card reader)
- SegmentFault
- Stocks open class
- Hot stock market
- Three new board
- The driver drops
- OPlayer
- Telephone attribution assistant
- Marital bed
- Poor tour
- I called MT
- I called MT 2
- Freedom Battle
ข้อแนะนำในการป้องกันและแก้ไข
ปัจจุบันโปรแกรม Xcode เวอร์ชันดัดแปลงถูกลบออกจากเซิร์ฟเวอร์ที่ให้บริการฝากไฟล์ดังกล่าวแล้ว รวมถึงแอปพลิเคชัน iOS ที่ติดมัลแวร์ก็ถูก Apple นำถอดออกจาก App Store เป็นการชั่วคราวแล้วเช่นกัน
สำหรับนักพัฒนา ควรตรวจสอบว่าดาวน์โหลดโปรแกรม Xcode หรือโปรแกรมอื่นๆ ที่ใช้ในการพัฒนาแอปพลิเคชัน จากแหล่งที่มาที่น่าเชื่อถือ เช่น จากเว็บไซต์ของผู้พัฒนาโดยตรง หากพบว่าโปรแกรมที่ติดตั้งอยู่มาจากแหล่งที่มาที่ไม่แน่ใจ ควรถอนการติดตั้งและดาวน์โหลดมาติดตั้งใหม่
สำหรับผู้ใช้งานอุปกรณ์ iOS ควรตรวจสอบรายชื่อแอปพลิเคชันที่ได้รับผลกระทบ หากยังไม่มีการเผยแพร่อัปเดต ควรลบแอปพลิเคชันดังกล่าวออกจากเครื่องก่อนเพื่อความปลอดภัย รวมถึงเปลี่ยนรหัสผ่าน Apple ID และบัญชีต่าง ๆ ที่มีการใช้งาน
เมื่อข่าวนี้กระจายออกไปทำให้ทางต้นสังกัดอย่าง Rovio ได้ออกมาแถลงว่าเกม Angry Birds 2 ที่ติดมัลแวร์นั้นมีเฉพาะที่เปิดให้ดาวน์โหลดในประเทศจีน, ไต้หวัน,ฮ่องกงและมาเก๊าเท่านั้น และกำลังจะปล่อยอัพเดทแก้ไขเรื่องมัลแวร์ตามมาเร็วๆนี้ ส่วนในประเทศอื่นยืนยันว่าปลอดภัย ส่วนทาง WeChat มีการประกาศอัปเดตเวอร์ชันที่มีการแก้ไขปัญหาแล้วเป็นเวอร์ชัน 6.2.6 ให้ผู้ใช้งานอัปเดททันที