Sprawa jest o tyle ciekawa, że firma nie pali się do udzielania wyjaśnień. Więcej o incydencie dowiemy się z publikacji badaczy pracujących w Palo Alto Networks - zob. Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store oraz kilka kolejnych tekstów.

Wynika z nich, że eksperci zidentyfikowali 39 aplikacji skompilowanych przy użyciu spreparowanej wersji Xcode, oficjalnego środowiska programistycznego firmy Apple. Okazało się, że niektórzy chińscy deweloperzy pobrali je z nieoficjalnego źródła, gwarantującego ponoć szybszy transfer. Stworzone z jego pomocą aplikacje zawierały fragmenty złośliwego kodu, któremu nadano nazwę XcodeGhost.

Żadnej szkodliwej aktywności w zasadzie nie zaobserwowano, z wyjątkiem ustanawiania połączeń z serwerem Command & Control (choć niewykluczone, że w przyszłości funkcjonalność szkodnika miała zostać poszerzona np. o wykradanie danych użytkowników). Nowo odkrytym zagrożeniem zainteresowali się jednak inni badacze i pod koniec ubiegłego tygodnia na blogu firmy Qihoo360 Technology pojawiła się lista obejmująca aż 344 zainfekowane aplikacje, co wywołało już lekką histerię w mainstreamowych mediach.

Apple, jak wspomniałam, za wiele nie komentuje i nie stara się uspokoić użytkowników zatroskanych o swoje bezpieczeństwo. Czy jest to właściwa postawa w obliczu opisanych zdarzeń? O opinię spytałam kilku ekspertów.

Jako jeden z pierwszych odpowiedział mi Piotr Kupczyk z polskiego oddziału Kaspersky Lab:

Sytuacja ze szkodliwymi aplikacjami, które przedostały się do oficjalnego sklepu firmy Apple, nie napawa optymizmem. Przez większość użytkowników system iOS jest uważany za "z natury bezpieczny", co często może prowadzić do uśpienia czujności i zrzucania obowiązku dbania o bezpieczeństwo na producenta systemu. Taka postawa zdecydowanie nie jest godna polecenia. W przypadku omawianego incydentu nie pomógł także fakt, że system iOS jest zamknięty - każda aplikacja dodawana do oficjalnego sklepu jest wnikliwie sprawdzana przez Apple. Jak widać, tym razem to nie wystarczyło. Wszystko to potwierdza, że w świecie IT nie istnieje coś takiego jak bezpieczny system operacyjny - każdy zawiera błędy i pewne luki w ochronie, które prędzej czy później mogą zostać wykorzystane przez uzdolnionych cyberprzestępców. Firma Apple dość szybko uporała się z usunięciem zainfekowanych aplikacji ze swojego sklepu i jestem przekonany, że incydent zostanie wnikliwie zbadany. Uważam jednak, że Apple powinno podać do wiadomości publicznej pełną listę tych aplikacji, by każdy użytkownik systemu iOS mógł sprawdzić, czy narzędzie takie nie znajduje się na jego urządzeniu.

Reakcja firmy była całkiem inna. Czym to mogło być spowodowane, wyjaśnia Adam z Zaufanej Trzeciej Strony, która ostatnimi czasy często gości w moich przeglądach wydarzeń jako źródło informacji o kampaniach wymierzonych w polskich internautów.

Mamy tu do czynienia z dość niecodziennym atakiem. Złośliwe oprogramowanie trafiło do sklepu Apple poprzez zmodyfikowany pakiet narzędzi dla programistów tworzących aplikacje na platformę iOS. Na szczęście dla Europejczyków do infekcji doszło na chińskim rynku, zatem większość zainfekowanych aplikacji jest popularna w Chinach. Niestety ciągle nie znamy pełnej listy problematycznych programów. Apple tradycyjnie już nie prowadzi przejrzystej komunikacji w tej sprawie i informacje o zainfekowanych programach musimy czerpać z innych źródeł. Czy to dobra polityka? Prawdopodobnie Apple woli nie straszyć swoich kilkuset milionów klientów za cenę zdenerwowania garści ekspertów, którzy woleliby poznać całość historii. Zainfekowane aplikacje podobno zostały już usunięte ze sklepu, lecz niepokojąca jest łatwość, z jaką zostały tam umieszczone. Pocieszeniem jest jedynie to, że według dostępnych informacji aplikacje tylko zgłaszały się do serwera atakujących, natomiast brak dowodów na to, by dochodziło do kradzieży danych użytkowników.

Szerzej omówił to Niebezpiecznik, podkreślając, że omijanie mechanizmów weryfikacji stosowanych w App Store zdarzało się już wcześniej. Dzięki temu na platformę sklepową firmy Apple przedostały się takie szkodniki, jak LBTM, InstaStock, FindAndCall, Jekyll czy FakeTor. W wypowiedzi dla Dziennika Internautów Piotr Konieczny z Niebezpiecznika zwrócił uwagę na jeszcze jeden pomijany w mediach szczegół:

Trojanowanie środowiska programistycznego, w tym przypadku Xcode, to nie nowość. Pół roku temu na jaw wyszedł projekt NSA o nazwie Strawhorse, którego celem było zainfekowanie oprogramowania pisanego przez deweloperów na sprzęt Apple. Można było podejrzewać, że przestępcy szybko skopiują pomysł służb. Szczęście w nieszczęściu - Apple dysponuje funkcjonalnością, która pozwala usunąć złośliwe aplikacje nie tylko z App Store, ale także już po ich zainstalowaniu, bezpośrednio ze smartfonów ofiar.

Sytuację dobrze podsumował Michał Sajdak z firmy Securitum, założyciel Sekuraka:

Firma Apple potwierdziła fakt umieszczenia w oficjalnym App Store 39 aplikacji zawierających złośliwy kod. Aplikacje zostały nieświadomie zainfekowane przez chińskich programistów używających zmodyfikowanego środowiska Xcode (służącego do tworzenia aplikacji dla systemu iOS). Właśnie ta modyfikacja środowiska programistycznego zmieniała tworzone aplikacje i dodawała do nich fragmenty malware. Na szczęście zainfekowane zostały przede wszystkim aplikacje na rynek chiński (np. chińska wersja Angry Birds 2), choć cała operacja pokazuje, że systemy obowiązkowego przeglądu aplikacji przed ich umieszczeniem w App Store nie zawsze muszą działać poprawnie. Z jeszcze innej strony - realne (choć kontrolowane) wpuszczenie malware do App Store udokumentowano już przeszło 2 lata temu.

Wróćmy jednak do zadanego w tytule pytania: czy Apple dobrze robi, nie ujawniając, które aplikacje w App Store zawierały złośliwy kod? Myślę, że wielu ekspertów i zwykłych użytkowników podpisałoby się pod opinią, którą wyraził Arkadiusz Zakrzewski, specjalista pomocy technicznej firmy CORE, która jest dystrybutorem AVG w Polsce:

Kierunek obrany przez Apple w tym przypadku jest najgorszym z możliwych. Od lat przy mniejszych i większych wpadkach to właśnie jawność jest przez ekspertów od bezpieczeństwa wymieniana wśród zalet, jak sobie dobrze radzić w takich sytuacjach. Dopuszczenie do App Store zainfekowanych aplikacji to problem, ale da się z niego wyjść z twarzą. Zamiast zamiatać błąd pod dywan i ukrywać wszelkie wzmianki o tym, że coś się stało, trzeba się do tego po prostu przyznać - uświadomić użytkowników, ujawnić listę związanych ze sprawą aplikacji, zaoferować wsparcie w ewentualnych problemach z zainfekowanymi urządzeniami i ich serwisowaniem.

Podobną opinię przedstawił Chester Wisniewski z Sophos Labs:

Miejmy nadzieję, że firma Apple zaktualizuje proces weryfikacji App Store, z założeniem, że wszystkie elementy zewnętrznie stworzonej aplikacji mogą zawierać złośliwy kod a nie tylko elementy, w których spodziewać się go można najbardziej. Koniec końców, weryfikacja App Store nie jest bezinwazyjnym skanowaniem antywirusowym, które musi zakończyć się w przeciągu kilku dziesiętnych sekundy. Jak wyjść z tej sytuacji? Sugerujemy następujące kroki:

• Apple powinno wskazać wszystkie aplikacje (wraz z numerami wersji), które zostały lub zostaną usunięte z App Store. Dzięki temu użytkownicy danego programu będą wiedzieć, że korzystają z bezpiecznej wersji.
• Producenci oprogramowania nie powinni korzystać z zainfekowanych narzędzi programistycznych. Trochę powagi, panowie!
• Producenci oprogramowania, którzy korzystali z zainfekowanych środowisk programistycznych powinni przyznać się do błędu i wskazać wszystkie wersje aplikacji, które zostały zainfekowane.

Nie są to jedyni eksperci, których spytałam o zdanie. Jeśli uda mi się pozyskać kolejne opinie, artykuł zostanie zaktualizowany.

Zobacz także inne zestawienie opinii dotyczące kwestii bezpieczeństwa: Czy logowanie odciskiem palca w aplikacji bankowej niesie ze sobą więcej korzyści czy zagrożeń?