XcodeGhost: Apple mahnt Entwickler

Der iPhone-Hersteller hat Entwickler dazu angehalten, die Entwicklungsumgebung nur direkt bei Apple zu beziehen. Durch eine manipulierte Xcode-Version hatte es Malware bis in den App Store geschafft.

In Pocket speichern vorlesen Druckansicht 68 Kommentare lesen
XcodeGhost: Apple mahnt Entwickler

(Bild: Apple)

Lesezeit: 2 Min.
Von
  • Leo Becker

Entwickler sollten die Entwicklungsumgebung Xcode ausschließlich aus dem Mac App Store oder auf Apples Developer-Seite beziehen. Darauf weist Apple in einem Rundschreiben sowie in den Entwickler-News hin. Auch die OS-X-Sicherheitsfunktion Gatekeeper müsse als Schutz vor manipulierter Software unbedingt aktiviert bleiben. Beim Bezug von Xcode über den Mac App Store prüft das Betriebssystem automatisch auf eine Code-Signatur von Apple.

Zusätzlich können Entwickler per Kommandozeile testen, ob die Signatur valide ist, betont Apple. Dies sei wichtig, wenn die Entwicklungsumgebung beispielsweise von einem USB-Stick oder aus dem lokalen Netzwerk bezogen wird. Sollte die Prüfung fehlschlagen, müsse eine "sauberes Xcode" heruntergeladen und sämtliche Apps neu kompiliert werden, bevor der Entwickler diese bei Apple zur Prüfung einreicht.

Apple reagiert mit dem Rundschreiben auf "XcodeGhost", eine manipulierte Variante der Entwicklungsumgebung, die Apps mit Schadcode infiziert. Nach bisheriger Analyse hatten chinesische Entwickler die modifizierte Xcode-Version von einem Dritt-Server bezogen, weil der Zugriff auf Apples Server aus China nur langsam oder gar nicht möglich gewesen sei. Dadurch ist eine größere Zahl an infizierten Apps in den App Store gelangt, darunter auch populäre Exemplare wie der Messenger WeChat oder die chinesische Variante von Angry Birds 2.

Apple hat betroffene Apps nach eigener Angabe entfernt, sich bislang aber nicht dazu geäußert, welche und wie viele iOS-Programme davon insgesamt betroffen sind. Nach Angabe der Sicherheitsfirma Palo Alto Networks waren am Montag noch infizierte Apps im App Store zu finden. Diese scheinen derzeit nur vergleichsweise geringfügig Informationen zu sammeln wie beispielsweise Systemversion, Gerätename und Gerätetyp. Ähnlich Angaben erheben beispielsweise auch gängige Werbe- und Analysenetzwerke. (lbe)