Nutzer eines iPhone 6 oder eines iPads hatten gegen die Malware kaum eine Chance, wenn sie eine der betroffenen Apps nutzten, da die schädliche Software mit Updates direkt auf das Smartphone oder Tablet heruntergeladen wurde. Dabei sind legitime Apps wie der Visitenkartenscanner CamCard, Uber-Konkurrent Didi Chuxing und der in China mit 600 Millionen größte Messenger WeChat in einer älteren Version betroffen gewesen. Die entsprechenden App-Versionen wurden jetzt von Apple aus dem App Store genommen — die Entwickler müssen neue, saubere Versionen vorlegen.
Theoretisch war XcodeGhost dazu in der Lage, Dialogfenster zur Passwortabfrage zu öffnen, Daten zu lesen und Webadressen zu öffnen, berichtet The Verge. Laut der Cybersicherheitsfirma Palo Alto Networks Inc wurden allerdings keine Vorfälle von Datendiebstahl oder sonstigem Schaden festgestellt, berichtet Reuters. Bisher waren lediglich fünf Fälle von Malware bekannt, die durch Apples Tests geschlüpft und im App Store gelandet waren. Im neuesten Fall könnten bis zu 344 Apps betroffen sein — fast alle in China.
Das reguläre Xcode wird für die Entwicklung von Apps für iPhones, iPads und Macs verwendet. Der Erschaffer von XcodeGhost überzeugte App-Entwickler in China davon, seine Variante von einem lokalen Server herunterzuladen, da dies schneller ging als von Apples offiziellen Servern in den USA. So gelangte seine Malware auf die Rechner von Programmierern, die damit Updates und neue Apps erstellten, die dann die Geräte der Endnutzer erreichten. Der bisher größte Fall von Malware in Apples App Store zeigt, dass Angriffe nicht nur Endnutzer als Ziel haben können: Entwickler können ebenfalls eine Schwachstelle in der Kette von Sicherheitsmaßnahmen sein.