Az Epic Games elleni perben az Apple olyan e-maileket hozott nyilvánosságra, amelyekből kiderül, hogy 128 millió felhasználó töltött le olyan alkalmazásokat az App Store-ból, amelyek tartalmazták az XCodeGhost nevű kártevő programot.
Hat éve történt, most derült ki
2015-ben ismeretlen hackerek az iPhone App Store több ezer alkalmazásába csempésztek kártevőt. Akkor a kutatók úgy vélték, hogy a hack több százmillió embert érinthetett, mivel a kutatók becslése szerint mintegy 4000 alkalmazásba került bele.
Ezzel az érintett felhasználók számát tekintve talán ez volt az eddigi legnagyobb iPhone elleni hackelés. A hack tényleges kiterjedése azonban évekig ismeretlen volt a nyilvánosság előtt. Egyesek még azt is gondolták, hogy a hack valódi hatása – az XCodeGhost néven ismert, a használt malware neve – soha nem fog kiderülni.
Összesen 128 millió ügyfél töltötte le a több mint 2500 érintett alkalmazást. Ezek az ügyfelek 203 millió letöltést hajtottak végre a több mint 2500 érintett alkalmazásból.
– írta az egyik e-mailben Dale Bagwell, aki akkoriban az Apple iTunes ügyfélélményért felelős vezetője volt.
Egy másik Apple-alkalmazott azt írta az e-mailekben, hogy „Kína az ügyfelek 55 százalékát és a letöltések 66 százalékát teszi ki. Mint látható, jelentős számú (18 millió ügyfél) érintett az Egyesült Államokban is.”
A nyelvi lokalizáció miatt visszakoztak
Az e-mailekből az is kiderül, hogy az Apple igyekezett kideríteni a támadás hatását, és dolgozott az áldozatok értesítésén.
A potenciálisan érintett ügyfelek nagy száma miatt tényleg akarunk-e mindenkinek e-mailt küldeni? Ez a kiküldött e-mailek nyelvi lokalizációja miatt némi kihívást okozhat, mivel ezen alkalmazások letöltése a világ számos App Store áruházában történt.
– írta Matt Fischer, az Apple App Store-ért felelős alelnöke.
Bagwell akkor egyetértett azzal, hogy az összes áldozat elérése kihívást jelentene:
Csak szeretném tisztázni az elvárásokat. Van ugye egy tömeges lekérdezési eszközünk, amellyel elküldhetjük az e-maileket, azonban még teszteljük, hogy pontosan meg tudjuk-e adni az egyes ügyfelek esetében az alkalmazások nevét. A múltban voltak problémák ezzel a konkrét funkcióval. Továbbá, szeretném azt is tisztázni, hogy az eszköz nagyon korlátozottan képes kezelni az e-mailek számát. Egy ekkora tétel (128 millió) esetén valószínűleg akár egy hetet is el kellene töltenünk az üzenetek elküldésével, így az e-mailek lokalizálása után (ami több napot vesz igénybe) legalább egy hétre lesz szükségünk a küldéshez – ha a tömeges-kérés eszközt használjuk.
Napjainkban már a „best practice” része
Manapság nagyon gyakori, hogy a vállalatok közvetlenül a felhasználókhoz fordulnak az adatvédelmi incidensekkel kapcsolatban, és ez a multiknál ismert „legjobb gyakorlat” része. Emellett az Egyesült Államokban minden államban van egy olyan jogszabály is, amely előírja a vállalatok számára az áldozatok értesítését.
Az Apple
sohasem hozta nyilvánosságra
az áldozatok pontos számát, de akkor azt állította, hogy értesíteni fogja őket. Miután az ügy kipattant, a vállalat pénteken azt nyilatkozta, hogy folyamatosan tájékoztatta a felhasználókat, de konkrétan nem mondta, hogy minden egyes áldozatot értesített volna.
Szorosan együttműködünk a fejlesztőkkel, hogy az érintett alkalmazások a lehető leggyorsabban visszakerüljenek az App Store-ba, hogy a vásárlók élvezhessék azokat.
– írta az Apple a 2015-ös incidensről szóló GYIK (gyakran ismételt kérdések) tájékoztatóban, amely már nem elérhető online.
Bár a puszta számok ebben a vírusfertőzésben nagyon magasak voltak, maga a malware viszont nem volt olyan kifinomult és veszélyes.
Nincs olyan információnk, amely arra utalna, hogy a rosszindulatú programot bármilyen rosszindulatú tevékenységre használták volna, vagy hogy ez az exploit bármilyen személyazonosításra alkalmas adatot használhatott volna fel – ha egyáltalán is használták bármire
– írta az Apple a GYIK-oldalon.
A hackerek a rosszindulatú kódot az Xcode, az Apple alkalmazásfejlesztő szoftverének egy manipulált változatába illesztették be, ezáltal
appok ezreibe
tudták azt becsempészni.
Az XcodeGhost alkotói újracsomagolták a rosszindulatú kóddal ellátott Xcode telepítőket, és a telepítőre mutató linkeket számos népszerű iOS/OS X fejlesztői fórumon tették közzé. A fejlesztőket azért csábították az Xcode ezen manipulált verziójának letöltésére, mert az Kínában sokkal gyorsabban töltődött le, mint az Xcode hivatalos verziója az Apple Mac App Store-ból.
– jelentette akkoriban a Lookout biztonsági cég.
A nyilvánosság kizárása
Ha biztonságról van szó, az Apple-nek mindig is jó hírnévnek örvendett – ez csak az utóbbi időben kezdett erősebben megfakulni. A vállalat azonban eddig vonakodott nyilvánosan és őszintén beszélni konkrét biztonsági incidensekről. Így ezek az e-mailek, amelyek csak az Epic kontra Apple Fortnite-perben történt felfedezés miatt kerültek nyilvánosságra, érdekes betekintést nyújtanak a függöny mögé, amelyek megmutatják a hackelésből származó károk teljesebb mértékét, valamint konkrétumokat arról, hogy a vállalat korábban hogyan kezelte a hackelés következményeit.
A Lookout szerint a malware-t úgy tervezték, hogy ellopjon néhány személyes adatot az áldozatoktól, például a fertőzött alkalmazás nevét, az alkalmazáscsomag azonosítóját, az eszköz nevét és típusát, hálózati információkat és az eszköz „identifierForVendor” azonosítóját.
(Vice)
(Borítókép: Sean Gallup / Getty Images)