読者です 読者をやめる 読者になる 読者になる

四十三庵

蔀の雑記帳

iPhoneから個人情報を抜きまくる「Xcode Ghost」の解説と対策

iPhoneアプリAppleの厳しい審査を通っているため、Androidアプリよりは信頼できる。
けれども、Appleの審査も完璧ではない。
Xcode Ghost」も、その一例だ。

Xcode Ghostとは
Xcodeというのは、Mac OSを使ってるとついてくる統合開発環境
Xcode Ghost」というのは、中国のミラーサイトで提供されていた、Xcodeのニセモノ。
Xcode Ghostを使ってアプリを作ると、個人情報を抜ける仕組みになっている。
具体的にどのように被害を受けるのかというと、アプリによって挙動が違うらしく、
多分Appleの審査でも見抜けなかったのはその辺なのだろう。
アプリによってはクリップボードのコピペした内容まで、指定したサーバに送信するらしい。


iPhoneの利用者の対策
この脅威に対処するために、iPhoneユーザーはどうしたらいいのか。
・「Xcode Ghost」で作られた疑いのあるアプリをまずアンインストールする
・→セキュリティ対策をした後に最新バージョンを再インストール
・アプリが出した不自然な入力画面に、不用意にパスワードを入れない

ちなみに、中国のセキュリティ会社がXcode Ghostで作られたアプリ一覧を作成している。
ほとんどが中国製アプリなので、日本人のユーザーはそんなにいない気もする。
http://bobao.360.cn/news/detail/2088.html
有名どころだと、WeChatとかCamScannerとかは、日本人でも使ってるユーザー多そう。

iPhoneアプリ開発者の対策
Xcode使ってる人は、どうしたらいいのか。
そもそも中国のミラーサイト使わずに、Apple社のサイトから普通にインストールしてれば何の問題もないんだけども、
そうはいっても不安になるのが人情というもの。

確認のためには、ターミナルから、下記コマンドをうちましょう。

spctl --assess --verbose /Applications/Xcode.app

ちゃんとAppleから提供されたXcodeだったら、以下のようなレスポンスが返ってきます。
(僕がやったときは一分くらい時間かかった)

$ spctl --assess --verbose /Applications/Xcode.app
/Applications/Xcode.app: accepted
source=Mac App Store

Validating Your Version of Xcode - News and Updates - Apple Developer

●関連情報
xiaolongchakan.com
japanese.engadget.com
iphone-mania.jp
japanese.engadget.com