Apple procède à un nettoyage de son App Store
Pour se débarrasser des applications affectées par le malware XcodeGhost

Le , par Stéphane le calme, Chroniqueur Actualités
Pour développer des applications sur les plateformes d’Apple Mac OS X et iOS, les développeurs se servent d’outils de développement regroupés au sein de l’environnement de développement Xcode. Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications.

Aussi, les projets légitimes développés avec cette mouture vont être infectés. Ryan Olson, directeur de la section Threat Intelligence pour le compte de Palto Alto Networks, estime que la version contrefaite de Xcode a été téléchargée depuis un serveur en Chine que les développeurs auraient pu utiliser parce qu’ils permettent un téléchargement plus rapide que s’il était fait depuis des serveurs basés aux USA.

Les applications développées avec le clone de Xcode vont réussir à contourner les mécanismes de sécurité mis en place par Apple pour pouvoir passer sur sa vitrine de téléchargement. XCodeGhost se connecte d'abord à un centre de commandement et de contrôle (C2C) pour envoyer des informations extraites du téléphone (heure, nom de l'appareil, numéro d’utilisateur UUID - Universal Unique Identifier -, etc.). Par la suite, l’application infectée reçoit des instructions. Elle pourrait par exemple prendre le contrôle de préfixes d'URL spécifiques utilisées par d'autres applications (par exemple l’URL twitter:// qui est censée ouvrir l’application correspondante), lire ou écrire dans le presse-papier, inviter la victime à saisir ses informations d’authentification (nom d’utilisateur, mots de passe) en lançant une boîte de dialogue. Sur ce dernier point, Palto Alto Networks avance que « puisque la boîte de dialogue est lancée depuis une application en exécution, la victime pourrait être en confiance et entrer son mot de passe sans jamais se douter de la supercherie ».

Suite à ces révélations, Apple a décidé de faire le grand ménage dans son App Store. C’est le premier cas rapporté d’un grand nombre de logiciels malveillants qui ont pu passer à travers les mailles du filet du processus strict d’examen des applications ; Palto Alto Network a avancé qu’avant cette attaque, seules cinq applications malveillantes avaient été trouvées dans l’App Store contre une quarantaine cette fois ci et qui peuvent potentiellement affecter des centaines de millions d’utilisateurs. Parmi les applications infectées par XcodeGhost figurent des applications populaires comme WinZIp, CamScanner Pro (qui permet de scanner des cartes de visite pour pré-remplir les fiches de contact) mais également WeChat (qui compte près de 500 millions d’utilisateurs, toutes plateformes confondues) en version 6.2.5, NetEase (musique en ligne) et Didi Kuaidi (covoiturage).

Christine Monaghan, porte-parole d’Apple, a assuré que « nous avons retiré les applications de l’App Store que nous savons avoir été conçues avec ce logiciel pirate. Nous sommes en discussion avec les développeurs afin de nous assurer qu'ils utilisent bien la version légitime de Xcode pour recompiler leurs applications ». Elle n’a cependant pas donné la conduite à tenir aux utilisateurs. A ce propos, certains éditeurs comme WeChat, Didi Kuaidi ou NetEase ont pris les devants et ont proposé aux utilisateurs de télécharger un correctif. Ces deux éditeurs ont assuré à leurs utilisateurs qu’une investigation préliminaire n’a montré aucun signe de vol de données.

Les versions vérolées de Xcode étaient hébergées sur des serveurs de Baidu qui a déjà supprimé les liens de téléchargement.

source : Reuters, NYT, Palo Alto Networks


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 21/09/2015 à 14:49
Excellent

je l'évoquais il y a quelques mois dans une discussion Libre vs Propriétaire...voici un bel exemple d'attaque qui compromet tous les développements, Libre ou pas, car c'est directement l'environnement de développement qui est ciblé.

Finalement pour avoir un logiciel à l'abris des backs doors, il faut non seulement un logiciel libre, mais il doit aussi être développé avec des outils libres, de préférence sur un OS libre....après le matériel de nos jours étant de plus en plus évolué, on peut se demander pourquoi le BIOS tenait dans une poignée d'octets en EEPROM alors que EUFI a besoin d'une partition de 300 Mo et ce que le fabriquant peut bien y mettre
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 21/09/2015 à 15:19
"Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications"

Ca veut dire quoi "diffusée par la suite auprès des développeurs d’applications", ça ? C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?

Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.
Avatar de RyzenOC RyzenOC - Inactif https://www.developpez.com
le 21/09/2015 à 15:35
je l'évoquais il y a quelques mois dans une discussion Libre vs Propriétaire...voici un bel exemple d'attaque qui compromet tous les développements, Libre ou pas, car c'est directement l'environnement de développement qui est ciblé.
Le libre ne garantie pas qu'il n'y a pas de failles.
Avatar de Zirak Zirak - Inactif https://www.developpez.com
le 21/09/2015 à 15:41
Citation Envoyé par Traroth2 Voir le message
C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?
Non, ils ont dû le mettre en ligne sur un site de téléchargement genre Téléchargez.com ou Clubic, ou dans le même genre (enfin un équivalent chinois).

Enfin si j'ai bien compris ce qu'il y a d'écrit dans l'article DVP.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 21/09/2015 à 16:10
Citation Envoyé par Traroth2 Voir le message
Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.
Malheureusement ça arrive très souvent a des logiciel libres aussi. Mozilla n’arrête pas de ce battre contre ça. Notepad++ a eu pas mal de problème. Et il y a peu SourceForge a créé un scandale en fournissant des version pourries de différents projets qu'ils hébergeaient dont Gimp.
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 21/09/2015 à 17:13
Citation Envoyé par Traroth2 Voir le message
"Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications"

Ca veut dire quoi "diffusée par la suite auprès des développeurs d’applications", ça ? C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?

Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.
si tu compiles un logiciel FLOSS avec un XCode "ghost" tu obtiens une application vérolée selon Apple; si tu la compiles avec le XCode officiel, tu as une application sur laquelle Apple à la main car ils auront décidé de la forme binaire de l'application FLOSS qui peut très bien contenir un backdoor made in Apple. Pour savoir exactement ce que fait l'application FLOSS il faut la compiler sous GCC ou équivalent - compilé par lui-même évidemment
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 21/09/2015 à 18:13
Citation Envoyé par Paul TOTH Voir le message
si tu compiles un logiciel FLOSS avec un XCode "ghost" tu obtiens une application vérolée selon Apple; si tu la compiles avec le XCode officiel, tu as une application sur laquelle Apple à la main car ils auront décidé de la forme binaire de l'application FLOSS qui peut très bien contenir un backdoor made in Apple. Pour savoir exactement ce que fait l'application FLOSS il faut la compiler sous GCC ou équivalent - compilé par lui-même évidemment
Le compilateur de base de XCode est CLang qui est libre lui aussi.
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 22/09/2015 à 16:24
Mouais... "Les versions en question ne sont pas celles proposées au téléchargement sur les serveurs d’Apple. Elles ont été mises à disposition sur un service tiers de stockage en ligne", ça nous avance toujours pas des masses.
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 22/09/2015 à 16:26
Citation Envoyé par Uther Voir le message
Malheureusement ça arrive très souvent a des logiciel libres aussi. Mozilla n’arrête pas de ce battre contre ça. Notepad++ a eu pas mal de problème. Et il y a peu SourceForge a créé un scandale en fournissant des version pourries de différents projets qu'ils hébergeaient dont Gimp.
Oui, mais ça ne concerne que les gens qui téléchargent sur un autre site que le site officiel. Et pour un logiciel FLOSS, je me demande vraiment pourquoi quelqu'un fait ça. Ce qui ne veut pas dire que personne ne le fait, je veux bien l'admettre. Mais c'est quand même d'abord un cas de PEBKAC...
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 22/09/2015 à 17:07
Pour les logiciels propriétaires aussi, ça n'arrive que si on ne télécharge pas sur le site officiel. Et XCode etant téléchargeable gratuitement sur le site d'apple, il y a pas plus de raison de le télécharger sur un site tiers que n'importe quel logiciel libre.

Oui on peut considérer ça comme un PEBKAC mais c'est de toute façon le cas de 99,9% des problèmes informatiques. On peut avoir plein de raisons qui font que l'on se retrouve à télécharger sur un site non officiel:
  • Le plus souvent c'est la flemme : on tombe sur un lien lors de ses recherches et on télécharge sans réfléchir davantage.
  • Dans le cas présent : la Chine, les connexions vers l’étranger sont souvent mauvaises, donc on préfère souvent télécharger sur des sites locaux même les logiciels gratuits.
  • Certains ont tellement l'habitude de tout télécharger, qu'ils ne se posent même plus la question de si c'est réellement gratuit ou non, il téléchargent sur tout leur site pirate.
Contacter le responsable de la rubrique Accueil