セキュリティ企業FireEyeはブログ記事で、正規アプリにマルウェアを注入するXcodeの偽バージョンであるXcodeGhostが依然として脅威であると述べた。FireEyeは、侵害されたアプリ開発ツールであるXcodeGhost Sのより高度なバージョンを特定した。このツールはiOS 9アプリに感染し、Appleによる検出を逃れる設計となっている。

XcodeGhostは、Xcode 7（iOS 9開発用にリリース）を含む様々なバージョンのXcodeに埋め込まれています。最新バージョン（XcodeGhost S）には、iOS 9に感染し、静的検出を回避する機能が追加されています。

当社は Apple と協力し、検出したすべての XcodeGhost および XcodeGhost サンプルを App Store から削除しました。

同社は、顧客のネットワークを監視することで、ネットワーク内で感染したアプリが稼働している企業を 210 社特定したと発表した。そのうち 3 分の 1 は米国にあり、  XcodeGhost コマンド アンド コントロール (CnC) サーバーへの接続試行が 28,000 回発生したという。 

これらのサーバーは現在XcodeGhostの背後にいる者によって管理されていないものの、ハイジャック攻撃に対して潜在的に脆弱であると指摘されています。一部の企業は、CnCサーバーへのトラフィックをブロックするためにドメインネームサーバーを変更していますが、企業ネットワーク外で使用されているデバイスを必ずしも保護できるわけではありません。

このブログ記事では、XcodeGhost がどのようにして Apple が iOS 9 で導入した保護を回避できたのかが説明されています。

Appleは、クライアントとサーバー間の接続セキュリティを強化するため、iOS 9で「NSAppTransportSecurity」アプローチを導入しました。iOS 9では、デフォルトではセキュア接続（特定の暗号を使用したhttps）のみが許可されています。この制限により、以前のバージョンのXcodeGhostでは、httpを使用してCnCサーバーに接続できませんでした。しかし、Appleは開発者がアプリのInfo.plistに例外（「NSAllowsArbitraryLoads」）を追加することで、http接続を許可できるようにしています。XcodeGhost Sサンプルは、アプリのInfo.plistにある「NSAppTransportSecurity」エントリの「NSAllowsArbitraryLoads」設定を読み取り、この設定に基づいて異なるCnCサーバー（http/https）を選択します。

今年初め、サーバーへの安全な接続を確立しようとする際に一部のアプリが危険にさらされる別の脆弱性が発見されました。

PCWorld経由。画像はABCニュース。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。