iOS es vulnerable: qué es XcodeGhost y por qué le está dando dolores de cabeza a Apple

Ningún sistema operativo está libre de fallos de seguridad, e iOS no es ninguna excepción. Por eso es muy posible que durante los últimos días hayas estado oyendo hablar de XcodeGhost, un malware que se ha aprovechado la pereza y la irresponsabilidad humana para acabar afectando a un buen puñado de aplicaciones del calibre de WeChat, CamScanner o WinZip.

XcodeGhost realmente no es un problema extremadamente grave para nuestra privacidad y Apple ha empezado hoy a tomar cartas en el asunto eliminando las aplicaciones afectadas. Pero el simple hecho de que haya estado afectando durante días a aplicaciones de primer nivel ya es preocupante, sobre todo si tenemos en cuenta cómo se ha conseguido difundir.

¿Qué es exactamente XcodeGhost?

El denominado XcodeGhost es un troyano, un código malicioso que modifica el entorno de desarrollo integrado Xcode de Apple para infectar las aplicaciones que están siendo desarrolladas con él para iOS. Tal y como informaron en Palo Alto Networks el pasado jueves, la principal función de este malware es la de obtener información sobre los dispositivos en los que se instalan.

Al estar presente en el propio entorno de desarrollo de Apple, este troyano se ha camuflado en aplicaciones oficiales alojadas sobre todo en la versión china de la AppStore. El malware es capaz de hacer que estas desvíen a servidores de terceros diferentes tipos de información como la hora, la aplicación, el indetificador de la app, el nombre y tipo del dispositivo, el idioma, el país donde se ejecuta, el UDID del dispositivo y el tipo de red que está utilizando.

Como veis no se trata de una información demasiado confidencial o que vaya a ponernos en peligro, pero es información que nos ha sido sustraída sin permiso al fin y al cabo. Además, lo más preocupante es que la versión infectada de Xcode no estuvo alojada en la página de Apple, lo que demuestra que los desarrolladores de las apps afectadas cometieron la imprudencia de bajárselo de otras páginas no oficiales.

¿Qué es lo que ha fallado?

El problema del que ha conseguido aprovecharse XcodeGhost para su difusión es que en algunos países como China, hay veces en las que las velocidades de descargas de los servidores de Apple son realmente lentas. Esto hace que descargar los 3 GB del instalador estándar de Xcode pueda convertirse en una experiencia frustrante.

Por eso hay bastantes desarrolladores que se la juegan buscando otras fuentes para descargarse estas aplicaciones. Y es aquí donde entra en juego la versión infectada de Xcode causante de todo este follón, la cual fue subida a la nube de Baidu y difundida entre los incautos desarrolladores chinos de algunas aplicaciones para iOS.

Apple también ha tenido su parte de culpa, sobre todo porque no ha tomado cartas en el asunto hasta hoy eliminando las aplicaciones infectadas y contactando con sus desarrolladores. También han fallado a la hora de detectar las aplicaciones infectadas que estaban siendo subidas, pero esto es más comprensible teniendo en cuenta que para detectarlas habría habido que ver a dónde envían cada paquete de información.

Por lo tanto el problema ya ha empezado a solucionarse y es sólo cuestión de horas que empiecen a llegar las actualizaciones libres de troyanos de las aplicaciones afectadas. Aun así este caso debería servir para dar un necesario toque de atención a los desarrolladores y a la propia Apple, porque si hubiera pasado lo mismo con un código más dañino el problema hubiera podido acabar siendo bastante más importante.

¿Cómo puedo saber si tengo una app afectada?

Como este malware no tiene ningún tipo de cambio visible en las aplicaciones es muy fácil que el común de los mortales nunca descubra que se vio afectado por este troyano. En cualquier caso aquí tenéis el listado completo de aplicaciones afectadas según Palo Alto y la empresa de seguridad holandesa Fox-IT:

• 网易云音乐 2.8.3
• 微信 6.2.5
• 讯飞输入法 5.1.1463
• 滴滴出行 4.0.0.6-4.0.0.0
• 滴滴打车 3.9.7.1 – 3.9.7
• 铁路12306 4.5
• 下厨房 4.3.2
• 51卡保险箱 5.0.1
• 中信银行动卡空间 3.3.12
• 中国联通手机营业厅 3.2
• 高德地图 7.3.8
• 简书 2.9.1
• 开眼 1.8.0
• Lifesmart 1.0.44
• 网易公开课 4.2.8
• 马拉马拉 1.1.0
• 药给力 1.12.1
• 喜马拉雅 4.3.8
• 口袋记账 1.6.0
• 同花顺 9.60.01
• 快速问医生 7.73
• 人周末
• 微博相机
• 豆瓣阅读
• CamScanner
• CamCard
• SegmentFault 2.8
• 炒股公开课
• 股市热点
• 新三板
• 滴滴司机
• OPlayer 2.1.05
• 电话归属地助手 3.6.5
• 愤怒的小鸟2 2.1.1
• 夫妻床头话 1.2
• 穷游 6.6.6
• 我叫MT 5.0.1
• 我叫MT 2 1.10.5
• 自由之战 1.1.0
• Mercury
• WinZip
• Musical.ly
• PDFReader
• guaji_gangtai en
• Perfect365
• 网易云音乐
• PDFReader Free
• WhiteTile
• IHexin
• WinZip Standard
• MoreLikers2
• CamScanner Lite
• MobileTicket
• iVMS-4500
• OPlayer Lite
• QYER
• golfsense
• 同花顺
• ting
• installer
• 下厨房
• golfsensehd
• Wallpapers10000
• CSMBP-AppStore
• 礼包助手
• MSL108
• ChinaUnicom3.x
• TinyDeal.com
• snapgrab copy
• iOBD2
• PocketScanner
• CuteCUT
• AmHexinForPad
• SuperJewelsQuest2
• air2
• InstaFollower
• CamScanner Pro
• baba
• WeLoop
• DataMonitor
• 爱推
• MSL070
• nice dev
• immtdchs
• OPlayer
• FlappyCircle
• 高德地图
• BiaoQingBao
• SaveSnap
• WeChat
• Guitar Master
• jin
• WinZip Sector
• Quick Save
• CamCard

Una vez más os repetimos que los desarrolladores no eran conscientes de que tenían este troyano en sus aplicaciones, y que Apple se está poniendo en contacto con ellos para avisarles. Esto quiere decir que cuando se lancen la próximas actualizaciones de estas aplicaciones se supone que ya quedarán libres de cualquier tipo de software malintencionado.

Imagen | PhotoAtelier
En Applesfera | XcodeGhost, ¿me supone un problema? ¿cómo se si estoy en riesgo? ¿cómo me protejo?