Developpez.com

Le Club des Développeurs et IT Pro

Apple indique aux développeurs comment vérifier l'identité de leurs copies de Xcode

Suite aux sévices du malware XcodeGhost

Le 2015-09-23 01:31:50, par Stéphane le calme, Chroniqueur Actualités
Après que son portail de téléchargement ait été le siège de nombreuses applications infectées par le malware XcodeGhost, Apple a décidé qu’il serait utile que les développeurs sachent comment vérifier que la version de l’EDI Xcode qu’ils ont installé est d’origine.

« Nous avons récemment été amenés à retirer des applications de l’App Store qui ont été conçues avec une version contrefaite de Xcode, laquelle pouvait potentiellement causer préjudice aux clients. Vous devriez toujours télécharger Xcode directement depuis le Mac App Store ou depuis le site Apple Developper et laisser activé Gatekeeper sur tous vos systèmes afin de les protéger contre les logiciels trafiqués ».

Apple rappelle que lorsque vous téléchargez Xcode depuis le Mac App Store, OS X vérifie automatiquement la signature de code de Xcode pour savoir s’il est signé par Apple. La même chose se produit si vous téléchargez Xcode depuis le site Apple dédié aux développeurs aussi longtemps que vous n’aurez pas désactivé Gatekeeper. De toute façon, que vous ayez téléchargé Xcode sur les canaux officiels d’Apple ou que vous l’ayez eu depuis d’autres sources, la vérification de l’intégrité de votre copie de Xcode est aisée.

Pour vérifier l’identité de la copie de votre EDI, lancez la commande suivante en prenant bien soin de vérifier que Gatekeeper est actif :

Code : 
spctl --assess --verbose /Applications/Xcode.app
Comme vous pouvez le constater sur le chemin, /Applications/ est le fichier dans lequel est installé Xcode. Cette opération peut durer quelques minutes mais voici les résultats que vous devriez obtenir :

Code : 
1
2
/Applications/Xcode.app: accepted
source=Mac App Store
Pour un téléchargement qui a été fait sur le Mac App Store

Code : 
1
2
/Applications/Xcode.app: accepted
source=Apple
ou

Code : 
1
2
/Applications/Xcode.app: accepted
source=Apple System
pour un téléchargement qui a été fait sur le site développeur d’Apple.

« Tout résultat différent de ‘accepted’ ou toute source différente de ‘Mac App Store’, ‘Apple System’ ou ‘Apple’ est le signe que la signature de l’application n’est pas valide pour Xcode. Vous devrez alors télécharger une autre copie de Xcode et recompiler vos applications avant de pouvoir les soumettre pour examen », a indiqué Apple.

Source : blog développeurs Apple
  Discussion forum
19 commentaires
  • Uther
    Expert éminent sénior
    Envoyé par Paul TOTH
    celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent. C'est la même différence qu'il y a entre Google Chrome et Chromium.
    Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
    Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.
    le 24/09/2015 à 13:32
  • Paul TOTH
    Expert éminent sénior
    Envoyé par Le Vendangeur Masqué
    Genre un bidouilleur pourrait pas tout simplement comparer des applications obtenues à l'aide de ces d'un compilateur fourni par Apple et un autre obtenu à partir des sources ? Tu crois qu'il n'existe personne d'assez compétent et/ou curieux pour essayer ça et voir d'éventuelles différences entre les binaires ?
    Ça se verrait très vite !

    De plus ta théorie d'Apple qui trufferait ton code au malware souffre de deux autres problèmes:
    1/ un malware ça communique avec l'extérieur, et il est ultra facile d'intercepter ce qui rentre ou sort d'un ordinateur. Là encore la moindre vilaine bête se verrait à l'analyse la plus basique.
    2/ tu accuses des gens, sans la moindre preuve, et comme tout bon fanatique tu cherches à jouer sur les peurs. Mais ici on est pas sur Yahoo et ton baratin fleurant la diffamation ne prendra pas.
    je n'accuse personne de quoi que ce soit, j'explique simplement un fait, Apple, en verrouillant complètement l'environnement de développement a la possibilité de faire ce qu'il veut.

    Envoyé par Uther
    Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
    Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.
    Si je ne m'abuse Gentoo est déployé sous forme de source.

    D'autre part SRWare Iron ou CyanogenMod qui ne font à priori pas confiance à Google, proposent Chromium et Android sans la partie non publique des versions Google.

    je ne connais pas d'équivalent sur iPhone, et même Delphi qui propose le développement OSX et iOS sous Windows a besoin d'un Mac et de l'AppleStore pour développer pour iPhone. C'est une restriction imposée par Apple.
    le 24/09/2015 à 14:43
  • grunk
    Modérateur
    C'est beau tout ces nom d'applications où on colle le maximum de mot clé à la mode. Ça respire la qualité ^^
    le 25/09/2015 à 8:20
  • qvignaud
    Membre actif
    Une question me taraude : comment les développeurs ont fait pour avoir ce malware ?

    Si même les développeurs ne téléchargent plus les logiciels depuis les sites officiels des éditeurs on ne va pas pouvoir s'en sortir…
    le 25/09/2015 à 15:46
  • Paul TOTH
    Expert éminent sénior
    Envoyé par Uther
    Le compilateur de base de XCode est CLang qui est libre lui aussi.
    celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent. C'est la même différence qu'il y a entre Google Chrome et Chromium.
    le 23/09/2015 à 11:21
  • Le Vendangeur Masqué
    Nouveau Candidat au Club
    Envoyé par Paul TOTH
    celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent.
    Genre un bidouilleur pourrait pas tout simplement comparer des applications obtenues à l'aide de ces d'un compilateur fourni par Apple et un autre obtenu à partir des sources ? Tu crois qu'il n'existe personne d'assez compétent et/ou curieux pour essayer ça et voir d'éventuelles différences entre les binaires ?
    Ça se verrait très vite !

    De plus ta théorie d'Apple qui trufferait ton code au malware souffre de deux autres problèmes:
    1/ un malware ça communique avec l'extérieur, et il est ultra facile d'intercepter ce qui rentre ou sort d'un ordinateur. Là encore la moindre vilaine bête se verrait à l'analyse la plus basique.
    2/ tu accuses des gens, sans la moindre preuve, et comme tout bon fanatique tu cherches à jouer sur les peurs. Mais ici on est pas sur Yahoo et ton baratin fleurant la diffamation ne prendra pas.
    le 24/09/2015 à 11:55
  Poster une réponse