В то время как паника не имела успеха, рассказ XcodeGhost держит уроки

АНАЛИЗ НОВОСТЕЙ: компании безопасности быстро встали на новости о XcodeGhost в начале месяца, но наступление воздействовало в основном на Китай и было затуплено упрочнениями по безопасности Apple.Сообщение стало появляться на китайских форумах разработчика примерно шесть месяцев назад: скоростной сайт для скачивания для заключительной среды создания XCode Apple был сейчас дешёв.

Потому, что большой пакет бесплатного ПО на 3.6 ГБ довольно часто замедлял загрузки в Китае, довольно много разработчиков применяли в собственных заинтересованностях сообщение, которая послала их в страницу, которая перечислила все последние предположения XCode, от 6.0.1 до 7, согласно анализу компанией сетевой безопасности Сети Пало-Альто. Все же ПО не было тем, чем это казалось: Злонамеренные атакующие встроили Трояна во многие программы. Каждая программа, созданная с зараженным программным обеспечением, собрала бы данные относительно устройства на iOS, на котором трудилось приложение, и пошлите те данные в управления и сервер командования.Наступление стало причиной громадному количеству зараженных приложений – по сообщениям больше чем тысяча вторжений в Apple App Store в Китае.

Помимо этого, кое-какие очень популярные программы – такие как WeChat, которая имеет 500 миллионов пользователей – были заражены разработчиками, применяющими поставивший под угрозу пакет XCode.В конце наступление продемонстрировало, что разработчики сейчас увидены как шаг на протяжении пути к назначению для сотен миллионов мобильных пользователей, сообщил Райан Олсон, директор аналитики угрозы для Сетей Пало-Альто, eWEEK.«Я пологаю, что это должен быть призыв к действию для разработчиков», сообщил он. «В случае если вероятная цель пребывает в том, чтобы заразить совокупности пользователей, то разработчики стали вправду серьёзным шагом к получению к этому. У Вас имеется громадная цель на Вашей пояснице, всех неожиданных».

Наступление, быть может, было хуже. Тогда как миллионы пользователей, возможно, загрузили зараженные приложения, ПО легко, быть может, пропустило данные пользователей, и неясно, сделало ли это. Помимо этого, когда разработчики исправили собственные программы и обновленных пользователей, вредоносный код провалился сквозь землю вместе с более ветхой версией приложений.

«У нас нет информации, чтобы высказать предположение, что вредоносное ПО употреблялось, чтобы сделать что-либо злонамеренное либо что это применение поставит, каждая соотносимая с личностью информация имела применяемый», Apple заявила. «Мы не знаем, что повлиялись лично идентифицируемые информацию о клиентах, и код также не имел свойстве запросить потребительские учетные эти взять iCloud и другие сервисные пароли».Доверие компилятору тяжелоВсе же, тогда как XcodeGhost, выяснилось, был меньше материальной угрозой, наступление предоставило кое-какие материальные уроки потребителям, разработчикам и Apple. Разработчики должны забрать безопасность собственных инструментов, обоих программных обеспечений и аппаратных, более без шуток.

«Это – определенно неприятность цепочки поставок», сообщил Олсон Пало-Альто. «Если Вы не можете доверять своим инструментам, Вы не можете доверять тому, что Вы производите».Вредоносное ПО компилятора не есть новым. Понятие датируется, по крайней мере, обзором безопасности ВВС 1974 года ОС Multics, которая обсудила возможность компилятора «лазейка», которая имела возможность «остаться в силе даже после полной перекомпиляции всей совокупности».Кен Томпсон, co-создатель Unix, сделал понятие еще более известным в его отражениях «Лекции принятия Премии Тьюринга 1983 года о Доверии Доверию», в то время как он обрисовал метод засунуть тёмный движение в программы, заразив популярный компилятор C. Потому, что компилятор C компилируется прошлой версией компилятора, подобающим образом делаемое наступление не показалось бы ни в каком исходном коде, но бы к любой программе, созданной зараженным компилятором C, включая следующую версию программного обеспечения.

«Мораль очевидна», записал Томпсон в статье 1984 года, основанной на лекции. «Вы не можете доверять коду, что Вы не вполне создали сами. … я выбрал компилятор C. Я, быть может, выбрал любую обрабатывающую программу программу, такую как ассемблер, загрузчик либо даже аппаратный микрокод».


TCNMS.RU