Apple procède à un nettoyage de son App Store
Pour se débarrasser des applications affectées par le malware XcodeGhost

Le , par Stéphane le calme

42PARTAGES

7  0 
Pour développer des applications sur les plateformes d’Apple Mac OS X et iOS, les développeurs se servent d’outils de développement regroupés au sein de l’environnement de développement Xcode. Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications.

Aussi, les projets légitimes développés avec cette mouture vont être infectés. Ryan Olson, directeur de la section Threat Intelligence pour le compte de Palto Alto Networks, estime que la version contrefaite de Xcode a été téléchargée depuis un serveur en Chine que les développeurs auraient pu utiliser parce qu’ils permettent un téléchargement plus rapide que s’il était fait depuis des serveurs basés aux USA.

Les applications développées avec le clone de Xcode vont réussir à contourner les mécanismes de sécurité mis en place par Apple pour pouvoir passer sur sa vitrine de téléchargement. XCodeGhost se connecte d'abord à un centre de commandement et de contrôle (C2C) pour envoyer des informations extraites du téléphone (heure, nom de l'appareil, numéro d’utilisateur UUID - Universal Unique Identifier -, etc.). Par la suite, l’application infectée reçoit des instructions. Elle pourrait par exemple prendre le contrôle de préfixes d'URL spécifiques utilisées par d'autres applications (par exemple l’URL twitter:// qui est censée ouvrir l’application correspondante), lire ou écrire dans le presse-papier, inviter la victime à saisir ses informations d’authentification (nom d’utilisateur, mots de passe) en lançant une boîte de dialogue. Sur ce dernier point, Palto Alto Networks avance que « puisque la boîte de dialogue est lancée depuis une application en exécution, la victime pourrait être en confiance et entrer son mot de passe sans jamais se douter de la supercherie ».

Suite à ces révélations, Apple a décidé de faire le grand ménage dans son App Store. C’est le premier cas rapporté d’un grand nombre de logiciels malveillants qui ont pu passer à travers les mailles du filet du processus strict d’examen des applications ; Palto Alto Network a avancé qu’avant cette attaque, seules cinq applications malveillantes avaient été trouvées dans l’App Store contre une quarantaine cette fois ci et qui peuvent potentiellement affecter des centaines de millions d’utilisateurs. Parmi les applications infectées par XcodeGhost figurent des applications populaires comme WinZIp, CamScanner Pro (qui permet de scanner des cartes de visite pour pré-remplir les fiches de contact) mais également WeChat (qui compte près de 500 millions d’utilisateurs, toutes plateformes confondues) en version 6.2.5, NetEase (musique en ligne) et Didi Kuaidi (covoiturage).

Christine Monaghan, porte-parole d’Apple, a assuré que « nous avons retiré les applications de l’App Store que nous savons avoir été conçues avec ce logiciel pirate. Nous sommes en discussion avec les développeurs afin de nous assurer qu'ils utilisent bien la version légitime de Xcode pour recompiler leurs applications ». Elle n’a cependant pas donné la conduite à tenir aux utilisateurs. A ce propos, certains éditeurs comme WeChat, Didi Kuaidi ou NetEase ont pris les devants et ont proposé aux utilisateurs de télécharger un correctif. Ces deux éditeurs ont assuré à leurs utilisateurs qu’une investigation préliminaire n’a montré aucun signe de vol de données.

Les versions vérolées de Xcode étaient hébergées sur des serveurs de Baidu qui a déjà supprimé les liens de téléchargement.

source : Reuters, NYT, Palo Alto Networks

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 21/09/2015 à 16:10
Citation Envoyé par Traroth2 Voir le message
Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.
Malheureusement ça arrive très souvent a des logiciel libres aussi. Mozilla n’arrête pas de ce battre contre ça. Notepad++ a eu pas mal de problème. Et il y a peu SourceForge a créé un scandale en fournissant des version pourries de différents projets qu'ils hébergeaient dont Gimp.
3  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 21/09/2015 à 15:35
je l'évoquais il y a quelques mois dans une discussion Libre vs Propriétaire...voici un bel exemple d'attaque qui compromet tous les développements, Libre ou pas, car c'est directement l'environnement de développement qui est ciblé.
Le libre ne garantie pas qu'il n'y a pas de failles.
5  3 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 21/09/2015 à 18:13
Citation Envoyé par Paul TOTH Voir le message
si tu compiles un logiciel FLOSS avec un XCode "ghost" tu obtiens une application vérolée selon Apple; si tu la compiles avec le XCode officiel, tu as une application sur laquelle Apple à la main car ils auront décidé de la forme binaire de l'application FLOSS qui peut très bien contenir un backdoor made in Apple. Pour savoir exactement ce que fait l'application FLOSS il faut la compiler sous GCC ou équivalent - compilé par lui-même évidemment
Le compilateur de base de XCode est CLang qui est libre lui aussi.
2  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 24/09/2015 à 13:32
Citation Envoyé par Paul TOTH Voir le message
celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent. C'est la même différence qu'il y a entre Google Chrome et Chromium.
Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.
2  0 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 24/09/2015 à 14:43
Citation Envoyé par Le Vendangeur Masqué Voir le message
Genre un bidouilleur pourrait pas tout simplement comparer des applications obtenues à l'aide de ces d'un compilateur fourni par Apple et un autre obtenu à partir des sources ? Tu crois qu'il n'existe personne d'assez compétent et/ou curieux pour essayer ça et voir d'éventuelles différences entre les binaires ?
Ça se verrait très vite !

De plus ta théorie d'Apple qui trufferait ton code au malware souffre de deux autres problèmes:
1/ un malware ça communique avec l'extérieur, et il est ultra facile d'intercepter ce qui rentre ou sort d'un ordinateur. Là encore la moindre vilaine bête se verrait à l'analyse la plus basique.
2/ tu accuses des gens, sans la moindre preuve, et comme tout bon fanatique tu cherches à jouer sur les peurs. Mais ici on est pas sur Yahoo et ton baratin fleurant la diffamation ne prendra pas.
je n'accuse personne de quoi que ce soit, j'explique simplement un fait, Apple, en verrouillant complètement l'environnement de développement a la possibilité de faire ce qu'il veut.

Citation Envoyé par Uther Voir le message
Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.
Si je ne m'abuse Gentoo est déployé sous forme de source.

D'autre part SRWare Iron ou CyanogenMod qui ne font à priori pas confiance à Google, proposent Chromium et Android sans la partie non publique des versions Google.

je ne connais pas d'équivalent sur iPhone, et même Delphi qui propose le développement OSX et iOS sous Windows a besoin d'un Mac et de l'AppleStore pour développer pour iPhone. C'est une restriction imposée par Apple.
2  0 
Avatar de grunk
Modérateur https://www.developpez.com
Le 25/09/2015 à 8:20
C'est beau tout ces nom d'applications où on colle le maximum de mot clé à la mode. Ça respire la qualité ^^
2  0 
Avatar de Zirak
Inactif https://www.developpez.com
Le 21/09/2015 à 15:41
Citation Envoyé par Traroth2 Voir le message
C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?
Non, ils ont dû le mettre en ligne sur un site de téléchargement genre Téléchargez.com ou Clubic, ou dans le même genre (enfin un équivalent chinois).

Enfin si j'ai bien compris ce qu'il y a d'écrit dans l'article DVP.
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 22/09/2015 à 17:07
Pour les logiciels propriétaires aussi, ça n'arrive que si on ne télécharge pas sur le site officiel. Et XCode etant téléchargeable gratuitement sur le site d'apple, il y a pas plus de raison de le télécharger sur un site tiers que n'importe quel logiciel libre.

Oui on peut considérer ça comme un PEBKAC mais c'est de toute façon le cas de 99,9% des problèmes informatiques. On peut avoir plein de raisons qui font que l'on se retrouve à télécharger sur un site non officiel:
  • Le plus souvent c'est la flemme : on tombe sur un lien lors de ses recherches et on télécharge sans réfléchir davantage.
  • Dans le cas présent : la Chine, les connexions vers l’étranger sont souvent mauvaises, donc on préfère souvent télécharger sur des sites locaux même les logiciels gratuits.
  • Certains ont tellement l'habitude de tout télécharger, qu'ils ne se posent même plus la question de si c'est réellement gratuit ou non, il téléchargent sur tout leur site pirate.
1  0 
Avatar de qvignaud
Membre habitué https://www.developpez.com
Le 25/09/2015 à 15:46
Une question me taraude : comment les développeurs ont fait pour avoir ce malware ?

Si même les développeurs ne téléchargent plus les logiciels depuis les sites officiels des éditeurs on ne va pas pouvoir s'en sortir…
1  0 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 22/09/2015 à 16:26
Citation Envoyé par Uther Voir le message
Malheureusement ça arrive très souvent a des logiciel libres aussi. Mozilla n’arrête pas de ce battre contre ça. Notepad++ a eu pas mal de problème. Et il y a peu SourceForge a créé un scandale en fournissant des version pourries de différents projets qu'ils hébergeaient dont Gimp.
Oui, mais ça ne concerne que les gens qui téléchargent sur un autre site que le site officiel. Et pour un logiciel FLOSS, je me demande vraiment pourquoi quelqu'un fait ça. Ce qui ne veut pas dire que personne ne le fait, je veux bien l'admettre. Mais c'est quand même d'abord un cas de PEBKAC...
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web