Nhiều app lừa đảo Trung Quốc trên App Store bị phát hiện ồ ạt

Bất chấp tuyên bố của Apple rằng App Store là “nơi an toàn mà bạn có thể tin tưởng”, có vẻ như một số nhà phát triển vẫn tìm cách vượt qua quy trình xem xét của công ty để phân phối các ứng dụng gian lận cho người dùng iPhone, iPad và Mac. Lần này, một nhà nghiên cứu được xác định là “Privacy1St” (Alex Kleber) đã chia sẻ một báo cáo về nhiều ứng dụng Trung Quốc đã đánh lừa nhóm đánh giá App Store

Các ứng dụng có thể đánh lừa nhóm đánh giá App Store

Báo cáo đã được chia sẻ trong một bài đăng trên Medium và cũng được hỗ trợ bởi nghiên cứu bảo mật và cựu nhân viên NSA Patrick Wardle. Cuộc điều tra đã kiểm tra bảy tài khoản nhà phát triển Apple khác nhau được cho là do cùng một nhà phát triển Trung Quốc quản lý. Theo báo cáo, các ứng dụng này lạm dụng các nguyên tắc của App Store theo nhiều cách khác nhau

Theo ghi nhận của nhà nghiên cứu, hầu hết các ứng dụng này đều chứa phần mềm độc hại ẩn có thể nhận lệnh từ máy chủ. Bằng cách này, mã độc đợi ứng dụng được phê duyệt trong App Store trước khi xuất hiện. Kỹ thuật này cho phép các nhà phát triển thay đổi thậm chí toàn bộ giao diện ứng dụng từ xa để Apple sẽ thấy một ứng dụng hoàn toàn khác với ứng dụng sẽ được chuyển đến người dùng

Mặc dù các ứng dụng được phát hành bởi các tài khoản nhà phát triển khác nhau, nhưng tất cả chúng đều thiết lập liên lạc với các miền bằng các dịch vụ như Cloudflare và GoDaddy để ẩn nhà cung cấp dịch vụ lưu trữ của chúng. Thật thú vị, trang web Chính sách bảo mật của các ứng dụng này chuyển hướng người dùng đến các trang web công khai được tạo bằng Google Sites

Một khía cạnh khác của mã của các ứng dụng này kết nối chúng với cùng một nhà phát triển là tất cả chúng đều sử dụng cùng một mật khẩu để giải mã tệp JSON được sử dụng để đánh lừa nhóm đánh giá App Store. Trong một số trường hợp, nhà phát triển này đã phát hành về cơ bản cùng một ứng dụng dưới các tài khoản khác nhau để các ứng dụng này có thể tiếp cận và lừa nhiều người dùng hơn nữa

Đánh giá giả mạo và hơn thế nữa

Theo ghi nhận của báo cáo, một trong những ứng dụng này là “Trình đọc PDF” được liệt kê là một trong những ứng dụng được tải xuống nhiều nhất trong Mac App Store của Hoa Kỳ. Sau khi tải xuống, ứng dụng lừa người dùng trả tiền cho gói thuê bao. Nhưng toàn bộ kế hoạch vượt xa điều này, vì tất cả các ứng dụng này đều có lượng đánh giá tích cực đáng ngờ giữa các đánh giá tiêu cực cho rằng ứng dụng không hoạt động

Tất nhiên, những đánh giá tích cực này là giả mạo và được nhà phát triển mua lại để khiến người dùng thông thường tin rằng ứng dụng này là hợp pháp. Kể từ khi báo cáo được công bố, Apple đã xóa hầu hết các đánh giá giả mạo về các ứng dụng này. Một số ứng dụng độc hại dường như cũng đã bị xóa khỏi Mac App Store

Tháng trước, Apple cho biết App Store đã dừng “gần $1. 5 tỷ giao dịch gian lận vào năm 2021” nhờ nhóm đánh giá App Store. Tuy nhiên, đây không phải là lần đầu tiên hay lần thứ hai các nhà nghiên cứu chỉ ra rằng App Store vẫn rất dễ bị các ứng dụng lừa đảo. Trong khi đó, Apple cứ nói quá trình sideloading mới là kẻ thù thực sự của người dùng

Thêm 9to5Mac vào nguồn cấp dữ liệu Google Tin tức của bạn. Google Tin tức Google-tin tức

FTC. Chúng tôi sử dụng các liên kết liên kết tự động kiếm thu nhập.

Xem 9to5Mac trên YouTube để biết thêm tin tức về Apple

Bạn đang đọc 9to5Mac — những chuyên gia cập nhật tin tức về Apple và hệ sinh thái xung quanh nó hàng ngày. Hãy nhớ xem trang chủ của chúng tôi để biết tất cả các tin tức mới nhất và theo dõi 9to5Mac trên Twitter, Facebook và LinkedIn để cập nhật thông tin. Bạn không biết bắt đầu từ đâu?

Thông tin về các Tác giả

Filipe Espósito

@filipeesposito

Filipe Espósito là một Nhà báo công nghệ người Brazil, người đã bắt đầu đưa tin về Apple trên iHelp BR với một số thông tin độc quyền — bao gồm cả việc tiết lộ các mẫu Apple Watch Series 5 mới bằng titan và gốm. Anh ấy đã tham gia 9to5Mac để chia sẻ nhiều tin tức công nghệ hơn nữa trên khắp thế giới

Apple đã xác nhận một lỗ hổng bảo mật trong App Store Trung Quốc khiến gần 40 ứng dụng phổ biến bị nhiễm phần mềm độc hại – hậu quả là các nhà phát triển ứng dụng bị lừa tải xuống phiên bản bị xâm phạm của bộ công cụ dành cho nhà phát triển Xcode của Apple. Vi phạm, lần đầu tiên được phát hiện bởi các nhà nghiên cứu tại Alibaba Mobile Security, đã ảnh hưởng đến một số ứng dụng phổ biến trong khu vực, bao gồm WeChat, Didi Kuaidi (một dịch vụ giống như Uber), ứng dụng quét danh thiếp CamCard và một số ứng dụng khác

Theo U. S. -công ty bảo mật có trụ sở tại Palo Alto Networks, gọi phần mềm độc hại là “XcodeGhost”, 39 ứng dụng iOS đã bị ảnh hưởng. Công ty cho biết phần mềm độc hại có khả năng ảnh hưởng đến hàng trăm triệu người dùng

Vi phạm là đáng ngạc nhiên, do các chính sách đánh giá ứng dụng nghiêm ngặt trong lịch sử của Apple. Tuy nhiên, trong trường hợp này, tác giả phần mềm độc hại đã lợi dụng nhu cầu của các nhà phát triển đối với phần mềm Xcode chính thức của Apple. Một phiên bản phần mềm Xcode bị xâm nhập đã được tải lên trang web lưu trữ đám mây của Baidu, hứa hẹn sẽ tải xuống nhanh hơn so với phiên bản chính thức được lưu trữ trên trang web riêng của Apple, phiên bản này bị chậm do Tường lửa lớn của Trung Quốc

Nhưng thậm chí để cài đặt phiên bản phần mềm Xcode bị ảnh hưởng này, các nhà phát triển đã phải bỏ qua một cảnh báo cho biết phần mềm đã bị hỏng và nên được chuyển vào thùng rác

@simx @rosyna @schwa phiên bản của họ được ký bởi Apple, nhưng có những tài nguyên đã thay đổi/thêm vào. Người gác cổng phàn nàn. ảnh. Twitter. com/VXfsrnqa8T

- Rainer Brockerhoff (@rbrockerhoff) ngày 20 tháng 9 năm 2015

//nền tảng. Twitter. com/widget. js

Nói cách khác, công nghệ Gatekeeper của Apple, ngăn cài đặt các phiên bản chương trình không phải App Store và chưa được ký, như Xcode, đang thực hiện công việc của nó. Tuy nhiên, các nhà phát triển cuối cùng đã chọn bỏ qua các cảnh báo và tiếp tục cài đặt cũng như sử dụng phần mềm bị xâm nhập

Sau đó, khi các nhà phát triển ứng dụng sử dụng phiên bản Xcode này để mã hóa ứng dụng của họ, thì ứng dụng của họ sẽ bị nhiễm phần mềm độc hại. (Baidu kể từ đó đã gỡ bỏ phần mềm bị nhiễm, nó nói. )

Palo Alto Networks giải thích trong một bài đăng trên blog rằng mã độc đã tải thông tin thiết bị và thông tin ứng dụng của người dùng lên máy chủ chỉ huy và kiểm soát của kẻ tấn công, cho phép thiết bị của người dùng sau đó có thể nhận hướng dẫn từ người tạo ra phần mềm độc hại. Một số hướng dẫn đó bao gồm lời nhắc có thể là cảnh báo giả nhằm lừa đảo để lấy thông tin đăng nhập của người dùng;

Một nhà phát triển cho biết XcodeGhost đã thực hiện các cuộc tấn công lừa đảo nhằm lấy mật khẩu iCloud của người dùng, Palo Alto Networks lưu ý

Công ty bảo mật cho biết hiện tại vẫn chưa rõ ai đứng sau vụ tấn công, nhưng nó chỉ ra rằng các kỹ thuật được sử dụng có thể là những kỹ thuật mà “các nhóm tội phạm và gián điệp” sẽ sử dụng để giành quyền truy cập vào các thiết bị iOS.

Trong một tuyên bố, Apple đã xác nhận vấn đề bảo mật và cho biết họ đã xóa các ứng dụng bị nhiễm khỏi iTunes App Store. Công ty cũng cho biết họ đang làm việc với các nhà phát triển để đảm bảo ứng dụng của họ không gặp rủi ro và họ đang sử dụng phiên bản Xcode phù hợp

Tuyên bố đầy đủ, như sau

“Apple rất coi trọng vấn đề bảo mật và iOS được thiết kế để trở nên đáng tin cậy và an toàn ngay từ khi bạn bật thiết bị của mình lên. Chúng tôi cung cấp cho các nhà phát triển những công cụ tiên tiến nhất trong ngành để tạo ra những ứng dụng tuyệt vời. Phiên bản giả mạo của một trong những công cụ này đã được đăng bởi các nguồn không đáng tin cậy. Phiên bản này có thể ảnh hưởng đến bảo mật của người dùng đối với các ứng dụng được tạo bằng công cụ giả mạo này. Để bảo vệ khách hàng của mình, chúng tôi đã xóa các ứng dụng khỏi App Store mà chúng tôi biết đã được tạo bằng phần mềm giả mạo này và chúng tôi đang làm việc với các nhà phát triển để đảm bảo rằng họ đang sử dụng phiên bản Xcode phù hợp để xây dựng lại ứng dụng của mình. ”

WeChat, có hơn 500 triệu người dùng, là một trong những ứng dụng lớn nhất bị ảnh hưởng bởi XcodeGhost. Công ty mẹ Tencent kể từ đó đã đăng lên blog chính thức của mình xác nhận việc phát hiện ra lỗ hổng bảo mật, lưu ý rằng chỉ những người đang chạy WeChat v6. 2. 5 dành cho iOS sẽ tải xuống phiên bản ứng dụng bị nhiễm độc. Trong phiên bản mới (6. 2. 6 trở lên), lỗ hổng đã được sửa chữa, nó cho biết

Ngoài ra, Tencent cho biết các cuộc điều tra ban đầu của họ cho thấy "không có hành vi trộm cắp và rò rỉ thông tin hoặc tiền của người dùng", nhưng công ty sẽ tiếp tục theo dõi tình hình chặt chẽ.

Mặc dù các ứng dụng bị lây nhiễm hiện đã được gỡ bỏ khỏi App Store và Apple đang liên hệ với các nhà phát triển ứng dụng bị ảnh hưởng, vẫn còn một số câu hỏi

Đối với người mới bắt đầu, tại thời điểm này, vẫn chưa rõ có bao nhiêu người dùng có thể đã thực sự tải xuống ứng dụng chứa phần mềm độc hại khi chúng có sẵn trên cửa hàng và cách những người dùng này sẽ được thông báo để nâng cấp lên phiên bản mới nhất

Ngoài ra, nhiều năm trước, người sáng lập kiêm Giám đốc điều hành của Apple, Steve Jobs, đã xác nhận rằng trên thực tế, Apple đã có một loại “kill switch” để xóa ứng dụng khỏi thiết bị của người dùng.

Vào thời điểm đó, anh ấy tuyên bố rằng Apple cần một tính năng như vậy trong trường hợp một chương trình độc hại – chẳng hạn như chương trình đã đánh cắp dữ liệu của người dùng – vô tình xâm nhập được vào iTunes App Store. Jobs nói: “Hy vọng rằng chúng ta không bao giờ phải kéo chiếc đòn bẩy đó, nhưng chúng ta sẽ vô trách nhiệm nếu không có một chiếc đòn bẩy như vậy để kéo”.

Bây giờ kịch bản chính xác này đã xảy ra, chúng tôi tự hỏi liệu Apple có thực sự tiếp tục sử dụng cơ chế này hay không

Cập nhật. Lookout có danh sách đầy đủ các ứng dụng bị ảnh hưởng tại đây cùng với hướng dẫn cụ thể về cách tìm hiểu xem bạn có phiên bản bị ảnh hưởng hoặc đã vá lỗi hay không. Công ty đang tiếp tục bổ sung vào danh sách này vì nó xác nhận độc lập những sản phẩm nào bị ảnh hưởng

Có ứng dụng độc hại nào trên App Store không?

Có cửa hàng ứng dụng Trung Quốc không?

Tại sao cửa hàng ứng dụng apple của tôi bằng tiếng Trung?

Ứng dụng Trung Quốc có an toàn không?