Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apple indique aux développeurs comment vérifier l'identité de leurs copies de Xcode
Suite aux sévices du malware XcodeGhost

Le , par Stéphane le calme

42PARTAGES

6  0 
Après que son portail de téléchargement ait été le siège de nombreuses applications infectées par le malware XcodeGhost, Apple a décidé qu’il serait utile que les développeurs sachent comment vérifier que la version de l’EDI Xcode qu’ils ont installé est d’origine.

« Nous avons récemment été amenés à retirer des applications de l’App Store qui ont été conçues avec une version contrefaite de Xcode, laquelle pouvait potentiellement causer préjudice aux clients. Vous devriez toujours télécharger Xcode directement depuis le Mac App Store ou depuis le site Apple Developper et laisser activé Gatekeeper sur tous vos systèmes afin de les protéger contre les logiciels trafiqués ».

Apple rappelle que lorsque vous téléchargez Xcode depuis le Mac App Store, OS X vérifie automatiquement la signature de code de Xcode pour savoir s’il est signé par Apple. La même chose se produit si vous téléchargez Xcode depuis le site Apple dédié aux développeurs aussi longtemps que vous n’aurez pas désactivé Gatekeeper. De toute façon, que vous ayez téléchargé Xcode sur les canaux officiels d’Apple ou que vous l’ayez eu depuis d’autres sources, la vérification de l’intégrité de votre copie de Xcode est aisée.

Pour vérifier l’identité de la copie de votre EDI, lancez la commande suivante en prenant bien soin de vérifier que Gatekeeper est actif :

Code : Sélectionner tout
spctl --assess --verbose /Applications/Xcode.app
Comme vous pouvez le constater sur le chemin, /Applications/ est le fichier dans lequel est installé Xcode. Cette opération peut durer quelques minutes mais voici les résultats que vous devriez obtenir :

Code : Sélectionner tout
1
2
/Applications/Xcode.app: accepted
source=Mac App Store
Pour un téléchargement qui a été fait sur le Mac App Store

Code : Sélectionner tout
1
2
/Applications/Xcode.app: accepted
source=Apple
ou

Code : Sélectionner tout
1
2
/Applications/Xcode.app: accepted
source=Apple System
pour un téléchargement qui a été fait sur le site développeur d’Apple.

« Tout résultat différent de ‘accepted’ ou toute source différente de ‘Mac App Store’, ‘Apple System’ ou ‘Apple’ est le signe que la signature de l’application n’est pas valide pour Xcode. Vous devrez alors télécharger une autre copie de Xcode et recompiler vos applications avant de pouvoir les soumettre pour examen », a indiqué Apple.

Source : blog développeurs Apple

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 24/09/2015 à 13:32
Citation Envoyé par Paul TOTH Voir le message
celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent. C'est la même différence qu'il y a entre Google Chrome et Chromium.
Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.
2  0 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 24/09/2015 à 14:43
Citation Envoyé par Le Vendangeur Masqué Voir le message
Genre un bidouilleur pourrait pas tout simplement comparer des applications obtenues à l'aide de ces d'un compilateur fourni par Apple et un autre obtenu à partir des sources ? Tu crois qu'il n'existe personne d'assez compétent et/ou curieux pour essayer ça et voir d'éventuelles différences entre les binaires ?
Ça se verrait très vite !

De plus ta théorie d'Apple qui trufferait ton code au malware souffre de deux autres problèmes:
1/ un malware ça communique avec l'extérieur, et il est ultra facile d'intercepter ce qui rentre ou sort d'un ordinateur. Là encore la moindre vilaine bête se verrait à l'analyse la plus basique.
2/ tu accuses des gens, sans la moindre preuve, et comme tout bon fanatique tu cherches à jouer sur les peurs. Mais ici on est pas sur Yahoo et ton baratin fleurant la diffamation ne prendra pas.
je n'accuse personne de quoi que ce soit, j'explique simplement un fait, Apple, en verrouillant complètement l'environnement de développement a la possibilité de faire ce qu'il veut.

Citation Envoyé par Uther Voir le message
Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.
Si je ne m'abuse Gentoo est déployé sous forme de source.

D'autre part SRWare Iron ou CyanogenMod qui ne font à priori pas confiance à Google, proposent Chromium et Android sans la partie non publique des versions Google.

je ne connais pas d'équivalent sur iPhone, et même Delphi qui propose le développement OSX et iOS sous Windows a besoin d'un Mac et de l'AppleStore pour développer pour iPhone. C'est une restriction imposée par Apple.
2  0 
Avatar de grunk
Modérateur https://www.developpez.com
Le 25/09/2015 à 8:20
C'est beau tout ces nom d'applications où on colle le maximum de mot clé à la mode. Ça respire la qualité ^^
2  0 
Avatar de qvignaud
Membre habitué https://www.developpez.com
Le 25/09/2015 à 15:46
Une question me taraude : comment les développeurs ont fait pour avoir ce malware ?

Si même les développeurs ne téléchargent plus les logiciels depuis les sites officiels des éditeurs on ne va pas pouvoir s'en sortir…
1  0 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 23/09/2015 à 11:21
Citation Envoyé par Uther Voir le message
Le compilateur de base de XCode est CLang qui est libre lui aussi.
celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent. C'est la même différence qu'il y a entre Google Chrome et Chromium.
1  2 
Avatar de Le Vendangeur Masqué
Nouveau Candidat au Club https://www.developpez.com
Le 24/09/2015 à 11:55
Citation Envoyé par Paul TOTH Voir le message
celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent.
Genre un bidouilleur pourrait pas tout simplement comparer des applications obtenues à l'aide de ces d'un compilateur fourni par Apple et un autre obtenu à partir des sources ? Tu crois qu'il n'existe personne d'assez compétent et/ou curieux pour essayer ça et voir d'éventuelles différences entre les binaires ?
Ça se verrait très vite !

De plus ta théorie d'Apple qui trufferait ton code au malware souffre de deux autres problèmes:
1/ un malware ça communique avec l'extérieur, et il est ultra facile d'intercepter ce qui rentre ou sort d'un ordinateur. Là encore la moindre vilaine bête se verrait à l'analyse la plus basique.
2/ tu accuses des gens, sans la moindre preuve, et comme tout bon fanatique tu cherches à jouer sur les peurs. Mais ici on est pas sur Yahoo et ton baratin fleurant la diffamation ne prendra pas.
0  3