Country not specified
Unknown website Share

Никита Гук

Страна: -
Город: -
Был онлайн: -
О себе:
 
08-07-2016, 10:57
Никита Гук

Алексей Поимцев о троянах в App Store: держите зад прикрытым

На этой неделе в App Store попало сразу несколько крайне популярных приложений с трояном внутри. Проблема возникла из-за разработчиков, загружавших Xcode из сторонних источников, а не напрямую с серверов Apple. В результате, хакеры добавили в Xcode вредоносный код, который впоследствии интегрировался в каждое скомпилированное и выгруженное в App Store приложение.

Среди приложений, подвергшихся заражению трояном по вине разработчиков, оказались такие популярные, как CamCard, Angry Birds 2, WeChat и множество других. При желании злоумышленники могли сохранять введеную персональную информацию и любые конфиденциальные данные, в том числе и пароли от кредитных карт, а масштаб всей проблемы пока даже сложно оценить.

После обнаружения этого модераторы Apple удалили все зараженные приложения из App Store, и компания разослала уведомления всем разработчикам о необходимости загрузки Xcode только из проверенных источников. Эта проблема частично затронула некоторых сотрудников из ​команды в #tceh, поэтому мы решили узнать мнение основателя Progress Engine Алексея Поимцева, который как раз работал в нашем коворкинге, о произошедшем и методах борьбы с такими проблемами:

Привет! Сразу к делу — что ты считаешь нужным делать разработчику при обнаружении вредоносного кода в своем приложении?

С репутационной точки зрения, компании-разработчику лучше встать и сказать: «Да, есть проблема, это наш косяк, но мы все усилия прилагаем для того, чтобы ситуация не повторилась и вот вам внутри игровые бонусы в приложениях». В таком случае и пользователь будет предупреждён, и негатива выльется меньше. Пусть разработчик не сможет получить прибыль за какой-то период времени, но хотя бы не потеряет лицо и пользователей.

Параллельно я бы провёл очень жёсткое расследование внутри, нашёл и наказал виновных. Вот правда, я считаю недопустимым использование левого ПО в разработке приложений для живых людей.

Конечно же, пока идёт расследование в срочном порядке надо останавливать дистрибуцию или откатываться на предыдущую версию.

Как думаешь, ситуация может опять повториться?

Ситуация рано или поздно, к сожалению, повторится, потому что человеческий фактор и социальная инженерия никуда не денутся.

А в целом, как избегать таких ситуаций?

На сегодняшний день созданы уже все условия для разработки приложений с использованием легального ПО и за вменяемые деньги. Есть Xcode, есть AppCode у JetBrains. И собственная безопасность здесь — первый приоритет.

Даже если вы считаете, что стоимость нужного вам инструмента завышена, ждите распродаж или скачивайте эквиваленты, авторизованные Apple и напрямую у производителей. Зад разработчика имеет высочайшую ценность — его в обязательном порядке нужно держать прикрытым!

Самые вкусные новости о платформе по запуску стартапов #tceh и не только можно найти в ​нашем блоге и на ​странице в Facebook.

 
tceh
App Store
взлом
разработка мобильных приложений
Apple
0 0 0

Чтобы оставлять комментарии вам необходимо зарегистрироваться