Apple gaat Xcode in China hosten om malware te voorkomen
Om nieuwe malware in de App Store te voorkomen heeft Apple besloten het ontwikkelprogramma Xcode lokaal in China te gaan hosten. Dat heeft Apple-topman Phil Schiller tegenover de Chinese website Sina.com laten weten. Vorige week bleek dat er besmette apps in de App Store terecht waren gekomen.
De apps waren met de XcodeGhost-malware besmet. Verschillende Chinese ontwikkelaars hadden Xcode via een onofficiële website gedownload. Xcode is de officiële tool van Apple voor het ontwikkelen van apps voor iOS of OS X. De versie die de ontwikkelaars hadden gedownload was geïnfecteerd met malware, waardoor ook de door hun ontwikkelde apps besmet raakten. Deze apps werden vervolgens in de App Store geplaatst, waarbij de controle van Apple de malware niet opmerkte.
Downloaden
Voor Chinese ontwikkelaars kan het erg lang duren om het 3GB grote Xcode te downloaden. "In de VS is er slechts 25 minuten nodig om het te downloaden, in China kan het drie keer langer duren", aldus Schiller. Dat is dan ook een reden dat Chinese ontwikkelaars de software via onofficiële kanalen proberen te downloaden. Apple adviseert dat ontwikkelaars Xcode en andere ontwikkelsoftware alleen via de officiële website downloaden.
Om dit voor Chinese ontwikkelaars makkelijker te maken is er nu besloten om de ontwikkelprogramma's lokaal te hosten, waardoor ze sneller kunnen worden gedownload. Wat betreft de XcodeGhost-malware zijn er volgens Schiller geen aanwijzingen dat de besmette apps gebruikersgegevens hebben doorgestuurd.
Ik verwacht zelfs dat malware-varianten eerst eens goed gaan uitzoeken waarom de besmette XCode erin slaagde om malware in de AppStore te krijgen. Immers, die AppStore hoort dat gewoon te controleren, ongeacht de bron van de App.
Ik verwacht dat ze daarnaast gaan zoeken naar manieren om reguliere versies van XCode te besmetten via allerlei truken zodat normale fabrikanten toch weer malware gaan produceren.
Maar het geeft ook aan welk probleem er is met het Chinese Internet, waardoor ontwikkelaars ervoor kiezen om gewoon te downloaden vanuit de meest gemakkelijk te bereiken bronnen in plaats via de legale kanalen. Zolang dat niet verandert zal China gewoon problemen blijven opleveren op de software-markt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
