Apple procède à un nettoyage de son App Store
Pour se débarrasser des applications affectées par le malware XcodeGhost
Le 2015-09-21 14:07:29, par Stéphane le calme, Chroniqueur Actualités
Pour développer des applications sur les plateformes d’Apple Mac OS X et iOS, les développeurs se servent d’outils de développement regroupés au sein de l’environnement de développement Xcode. Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications.
Aussi, les projets légitimes développés avec cette mouture vont être infectés. Ryan Olson, directeur de la section Threat Intelligence pour le compte de Palto Alto Networks, estime que la version contrefaite de Xcode a été téléchargée depuis un serveur en Chine que les développeurs auraient pu utiliser parce qu’ils permettent un téléchargement plus rapide que s’il était fait depuis des serveurs basés aux USA.
Les applications développées avec le clone de Xcode vont réussir à contourner les mécanismes de sécurité mis en place par Apple pour pouvoir passer sur sa vitrine de téléchargement. XCodeGhost se connecte d'abord à un centre de commandement et de contrôle (C2C) pour envoyer des informations extraites du téléphone (heure, nom de l'appareil, numéro d’utilisateur UUID - Universal Unique Identifier -, etc.). Par la suite, l’application infectée reçoit des instructions. Elle pourrait par exemple prendre le contrôle de préfixes d'URL spécifiques utilisées par d'autres applications (par exemple l’URL twitter:// qui est censée ouvrir l’application correspondante), lire ou écrire dans le presse-papier, inviter la victime à saisir ses informations d’authentification (nom d’utilisateur, mots de passe) en lançant une boîte de dialogue. Sur ce dernier point, Palto Alto Networks avance que « puisque la boîte de dialogue est lancée depuis une application en exécution, la victime pourrait être en confiance et entrer son mot de passe sans jamais se douter de la supercherie ».
Suite à ces révélations, Apple a décidé de faire le grand ménage dans son App Store. C’est le premier cas rapporté d’un grand nombre de logiciels malveillants qui ont pu passer à travers les mailles du filet du processus strict d’examen des applications ; Palto Alto Network a avancé qu’avant cette attaque, seules cinq applications malveillantes avaient été trouvées dans l’App Store contre une quarantaine cette fois ci et qui peuvent potentiellement affecter des centaines de millions d’utilisateurs. Parmi les applications infectées par XcodeGhost figurent des applications populaires comme WinZIp, CamScanner Pro (qui permet de scanner des cartes de visite pour pré-remplir les fiches de contact) mais également WeChat (qui compte près de 500 millions d’utilisateurs, toutes plateformes confondues) en version 6.2.5, NetEase (musique en ligne) et Didi Kuaidi (covoiturage).
Christine Monaghan, porte-parole d’Apple, a assuré que « nous avons retiré les applications de l’App Store que nous savons avoir été conçues avec ce logiciel pirate. Nous sommes en discussion avec les développeurs afin de nous assurer qu'ils utilisent bien la version légitime de Xcode pour recompiler leurs applications ». Elle n’a cependant pas donné la conduite à tenir aux utilisateurs. A ce propos, certains éditeurs comme WeChat, Didi Kuaidi ou NetEase ont pris les devants et ont proposé aux utilisateurs de télécharger un correctif. Ces deux éditeurs ont assuré à leurs utilisateurs qu’une investigation préliminaire n’a montré aucun signe de vol de données.
Les versions vérolées de Xcode étaient hébergées sur des serveurs de Baidu qui a déjà supprimé les liens de téléchargement.
source : Reuters, NYT, Palo Alto Networks
Aussi, les projets légitimes développés avec cette mouture vont être infectés. Ryan Olson, directeur de la section Threat Intelligence pour le compte de Palto Alto Networks, estime que la version contrefaite de Xcode a été téléchargée depuis un serveur en Chine que les développeurs auraient pu utiliser parce qu’ils permettent un téléchargement plus rapide que s’il était fait depuis des serveurs basés aux USA.
Les applications développées avec le clone de Xcode vont réussir à contourner les mécanismes de sécurité mis en place par Apple pour pouvoir passer sur sa vitrine de téléchargement. XCodeGhost se connecte d'abord à un centre de commandement et de contrôle (C2C) pour envoyer des informations extraites du téléphone (heure, nom de l'appareil, numéro d’utilisateur UUID - Universal Unique Identifier -, etc.). Par la suite, l’application infectée reçoit des instructions. Elle pourrait par exemple prendre le contrôle de préfixes d'URL spécifiques utilisées par d'autres applications (par exemple l’URL twitter:// qui est censée ouvrir l’application correspondante), lire ou écrire dans le presse-papier, inviter la victime à saisir ses informations d’authentification (nom d’utilisateur, mots de passe) en lançant une boîte de dialogue. Sur ce dernier point, Palto Alto Networks avance que « puisque la boîte de dialogue est lancée depuis une application en exécution, la victime pourrait être en confiance et entrer son mot de passe sans jamais se douter de la supercherie ».
Suite à ces révélations, Apple a décidé de faire le grand ménage dans son App Store. C’est le premier cas rapporté d’un grand nombre de logiciels malveillants qui ont pu passer à travers les mailles du filet du processus strict d’examen des applications ; Palto Alto Network a avancé qu’avant cette attaque, seules cinq applications malveillantes avaient été trouvées dans l’App Store contre une quarantaine cette fois ci et qui peuvent potentiellement affecter des centaines de millions d’utilisateurs. Parmi les applications infectées par XcodeGhost figurent des applications populaires comme WinZIp, CamScanner Pro (qui permet de scanner des cartes de visite pour pré-remplir les fiches de contact) mais également WeChat (qui compte près de 500 millions d’utilisateurs, toutes plateformes confondues) en version 6.2.5, NetEase (musique en ligne) et Didi Kuaidi (covoiturage).
Christine Monaghan, porte-parole d’Apple, a assuré que « nous avons retiré les applications de l’App Store que nous savons avoir été conçues avec ce logiciel pirate. Nous sommes en discussion avec les développeurs afin de nous assurer qu'ils utilisent bien la version légitime de Xcode pour recompiler leurs applications ». Elle n’a cependant pas donné la conduite à tenir aux utilisateurs. A ce propos, certains éditeurs comme WeChat, Didi Kuaidi ou NetEase ont pris les devants et ont proposé aux utilisateurs de télécharger un correctif. Ces deux éditeurs ont assuré à leurs utilisateurs qu’une investigation préliminaire n’a montré aucun signe de vol de données.
Les versions vérolées de Xcode étaient hébergées sur des serveurs de Baidu qui a déjà supprimé les liens de téléchargement.
source : Reuters, NYT, Palo Alto Networks
-
UtherExpert éminent séniorMalheureusement ça arrive très souvent a des logiciel libres aussi. Mozilla n’arrête pas de ce battre contre ça. Notepad++ a eu pas mal de problème. Et il y a peu SourceForge a créé un scandale en fournissant des version pourries de différents projets qu'ils hébergeaient dont Gimp.le 21/09/2015 à 16:10
-
RyzenOCInactifje l'évoquais il y a quelques mois dans une discussion Libre vs Propriétaire...voici un bel exemple d'attaque qui compromet tous les développements, Libre ou pas, car c'est directement l'environnement de développement qui est ciblé.
le 21/09/2015 à 15:35 -
UtherExpert éminent séniorle 21/09/2015 à 18:13
-
UtherExpert éminent séniorTout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.le 24/09/2015 à 13:32 -
Paul TOTHExpert éminent séniorje n'accuse personne de quoi que ce soit, j'explique simplement un fait, Apple, en verrouillant complètement l'environnement de développement a la possibilité de faire ce qu'il veut.
Si je ne m'abuse Gentoo est déployé sous forme de source.
D'autre part SRWare Iron ou CyanogenMod qui ne font à priori pas confiance à Google, proposent Chromium et Android sans la partie non publique des versions Google.
je ne connais pas d'équivalent sur iPhone, et même Delphi qui propose le développement OSX et iOS sous Windows a besoin d'un Mac et de l'AppleStore pour développer pour iPhone. C'est une restriction imposée par Apple.le 24/09/2015 à 14:43 -
grunkModérateurC'est beau tout ces nom d'applications où on colle le maximum de mot clé à la mode. Ça respire la qualité ^^le 25/09/2015 à 8:20
-
ZirakInactifNon, ils ont dû le mettre en ligne sur un site de téléchargement genre Téléchargez.com ou Clubic, ou dans le même genre (enfin un équivalent chinois).
Enfin si j'ai bien compris ce qu'il y a d'écrit dans l'article DVP.le 21/09/2015 à 15:41 -
UtherExpert éminent séniorPour les logiciels propriétaires aussi, ça n'arrive que si on ne télécharge pas sur le site officiel. Et XCode etant téléchargeable gratuitement sur le site d'apple, il y a pas plus de raison de le télécharger sur un site tiers que n'importe quel logiciel libre.
Oui on peut considérer ça comme un PEBKAC mais c'est de toute façon le cas de 99,9% des problèmes informatiques. On peut avoir plein de raisons qui font que l'on se retrouve à télécharger sur un site non officiel:
- Le plus souvent c'est la flemme : on tombe sur un lien lors de ses recherches et on télécharge sans réfléchir davantage.
- Dans le cas présent : la Chine, les connexions vers l’étranger sont souvent mauvaises, donc on préfère souvent télécharger sur des sites locaux même les logiciels gratuits.
- Certains ont tellement l'habitude de tout télécharger, qu'ils ne se posent même plus la question de si c'est réellement gratuit ou non, il téléchargent sur tout leur site pirate.
le 22/09/2015 à 17:07 -
qvignaudMembre actifUne question me taraude : comment les développeurs ont fait pour avoir ce malware ?
Si même les développeurs ne téléchargent plus les logiciels depuis les sites officiels des éditeurs on ne va pas pouvoir s'en sortir…le 25/09/2015 à 15:46 -
Traroth2Membre émériteOui, mais ça ne concerne que les gens qui téléchargent sur un autre site que le site officiel. Et pour un logiciel FLOSS, je me demande vraiment pourquoi quelqu'un fait ça. Ce qui ne veut pas dire que personne ne le fait, je veux bien l'admettre. Mais c'est quand même d'abord un cas de PEBKAC...le 22/09/2015 à 16:26