Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

XcodeGhost, le malware qui s’est infiltré dans des applications iOS

Les promesses des téléchargements alternatifs

XcodeGhost, le malware qui s'est infiltré dans des applications iOS

Le 21 septembre 2015 à 12h00

Une version contrefaite de l’environnement de développement Xcode d’Apple a permis la compilation d’applications contenant un cheval de Troie. La situation s’est surtout produite en Chine et Apple a depuis fait le ménage. Le cas rappelle cependant qu’aucune plateforme n’est à l’abri d’un souci de sécurité.

Les différentes boutiques servent de portail pour récupérer des applications depuis les appareils mobiles. Parmi leurs prérogatives, il faut noter que des processus de sécurité doivent empêcher les utilisateurs de récupérer des versions vérolées ou plus globalement des créations dont le seul objectif est de dérober des données personnelles ou conduire à des arnaques. Voilà pourquoi il est souvent conseillé aux utilisateurs d’Android de faire attention quand ils téléchargent depuis des boutiques tierces, une opération permise sur cette plateforme (après modification des paramètres).

Un Xcode contenant un compilateur malveillant

Cela n’empêche pas pour autant des systèmes plus stricts d’être eux aussi victimes de soucis de sécurité. On a pu le voir ces derniers jours avec XcodeGhost, nom donné à un cheval de Troie retrouvé dans certaines applications iOS. Mais comment une telle menace a-t-elle pu passer les sas de validation d’Apple vers l’App Store ? Parce que les applications vérolées avaient tous les airs de projets authentiques.

Ces applications ont en fait été compilées à l’aide d’une version non authentique de Xcode, l’environnement de développement proposé par Apple pour les projets ciblant toutes ses plateformes. Comment les développeurs ont récupéré initialement cette version contaminée, le mystère demeure, mais la société de sécurité Palo Alto Network a pu en mesurer les résultats (le site rencontre actuellement de grosses difficultés), puisque 39 applications sont ainsi passées à la moulinette d’un compilateur malveillant, injectant un cheval de Troie au passage. 

Apple a fait le ménage

Présentées pour validation à l’App Store, ces applications se sont bien retrouvées pendant quelques jours sur la boutique d’application. Apple a officiellement reconnu le problème dans une réponse donnée à Reuters, via la porte-parole Christine Monaghan : « Nous avons supprimé les applications de l’App Store dont nous savons qu’elles ont été développées avec le logiciel contrefait. Nous travaillons avec les développeurs pour nous assurer qu’ils utilisent la version normale de Xcode afin qu’ils revoient leurs applications ».

Parmi ces applications, on retrouve le client de messagerie WeChat, dont l’éditeur a réagi pour indiquer que la version sortie il y a deux jours était débarrassée du problème. Le scanner de cartes CamCard était également touché par le souci, mais a depuis rectifié le tir. Pour les autres, elles ont de toute façon été supprimées de l’App Store. Elles avaient toutes le potentiel de voler des informations tels que l’identifiant du téléphone et certaines informations plus générales, pour les envoyer vers un serveur. Selon Palo Alto Network cependant, il semble qu’il n’y ait pas eu de transmissions.

La société estime que ce type de menace est particulièrement sérieux. Concernant le téléchargement initial du Xcode frelaté, elle avance l’hypothèse que des développeurs ont cherché à récupérer plus rapidement l’environnement, sans passer par des serveurs d’Apple peut-être jugés trop lents. On imagine que l’aventure leur aura ôté le goût des chemins alternatifs.

Commentaires (52)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Vrai <img data-src=" />

votre avatar







Vekin a écrit :



En effet, c’est plutôt rusé. Allez savoir si une telle situation ne s’est pas déjà produite sur PC…





&nbsp;Ken Thompson, 1984… Encore plus vicelard…


votre avatar

Je vous invites à mettre à jour cet article.

&nbsp;

Il semble que ce ne soit pas que des application chinoise qui soient impactées.

&nbsp;

Angry Birds 2 est de la partie et tant que tous les éditeurs n’auront pas contrôlé leurs applis le sujet est loin d’êtres clos.

&nbsp;



http://uk.businessinsider.com/apps-by-attack-on-apple-app-store-2015-9

&nbsp;

votre avatar

Le malware initial est dans l’environement de développement, donc pas sur téléphone.

votre avatar







CryoGen a écrit :



Pas bête quand même, pourrir le compilateur pour embarquer le malware à l’insu du plein gré des développeurs, des utilisateurs et même d’Apple. Chapeau.





Le compilo est connu comme une faille invisible pour une attaque.



Vu que même les OS sont compilés à l’aide de compilateur (et heureusement) si celui ci est déjà faillible tout est faillible. J’imagine que GCC est compilé avec GCC. Maintenant, imagine toi que GCC soit vérolé de tel sorte qu’il se vérole lui même ainsi que les “gros code” (pour passer la barrière des tests), il se contamine en boucle et c’est pratiquement impossible de le savoir car cela signifierait de lire le code binaire produit.



Bon, le problème plus réaliste serait plus en vérité un “bug” de GCC dans la production d’un code avec une faille. Du coup, ce serait un catastrophe car c’est presque tout les programmes linux et même BSD qui seront touché.


votre avatar

Oui tout a fait mais moi je suis sous Gentoo



# emerge -e @system @world après avoir mis à jour GCC et voilà \o/

votre avatar

&nbsp; hâte de voir comment les gens vont réagir !

votre avatar



il faut noter que des processus de sécurité doivent empêcher les utilisateurs de récupérer des versions vérolées ou plus globalement des créations dont le seul objectif est de dérober des données personnelles ou conduire à des arnaques.



C’est pourtant bien le principal objectif de tout un tas d’application qui sont sur les stores.

Après, a voir si l’on considère la plupart des F2P et autres joyeusetés comme une arnaque..

votre avatar







yukon_42 a écrit :



hâte de voir comment les gens vont réagir !





Allez, paris ouverts :




  • la plupart vont s’en foutre comme d’une guigne

  • les flippés vont sortir la CB et exiger de l’Apple Care que le problème soit résolu

  • les fanboys vont nous dire que c’est pareil ou pire chez MS ou sur Android, et que donc OSEF


votre avatar

Justement, non, car :




  • ermerge, bien qu’écrit en python tourne très certainement sur cpython qui lui est compiler sûrement par GCC.

  • GCC a été mise à jour comment ? il faut bien le compiler à un moment donné… on tourne en boucle. Le seul moyen serait de recommencer de 0, avec un premier compilo très basique écrit en binaire pour compiler un second plus évolué (sûrement écrit en langage d’assemblage) capable de compiler GCC.



    Je ne connaissais pas mais c’est exactement ce que Seazor rapporte :




    Seazor a écrit :

    Ken Thompson, 1984… Encore plus vicelard…




votre avatar

emerge ne compile rien par lui même donc bon.

Ensuite tu peux aussi récupérer des paquets au format binaire, donc qui aurait été compilé de façon sûr (un ancien gcc, icc ou autres solutions).



Et puis bon, ici on a un compilateur modifié dans des dsitributions “pirates”… si la contamination est directement chez l’éditeur ca peut faire mal c’est clair… <img data-src=" />

votre avatar







Drepanocytose a écrit :



Allez, paris ouverts :




  • la plupart vont s’en foutre comme d’une guigne

  • les flippés vont sortir la CB et exiger de l’Apple Care que le problème soit résolu

  • les fanboys vont nous dire que c’est pareil ou pire chez MS ou sur Android, et que donc OSEF





    Oui c’est pareil chez MS ou Google à la différence qu’Apple à les moyens techniques de faire le ménage dans son store, chose qu’elle est entrain de faire en virant toute les applis concernées.


votre avatar

oui enfin Apple à la capacité de faire “disparaitre” les soucis plus rapidement qu’une autre entreprise c’est cela que je veux voir ^^

votre avatar

Google a aussi les moyens de faire le ménage dans son market, et ne se gène pas pour le faire ….. ils ont un bouncerqu’ils améliorent régulièrement pour faire le ménage dans les applications sur le market, je ne vois pas d’où tu sors que Microsoft et Google ne le ferais pas …

votre avatar

La compilation ne devrait-elle pas être un processus déterministe qu’on puisse contrôler ?

&nbsp;<img data-src=" />

&nbsp;

&nbsp;Certains travaillent dans ce sens.

&nbsp;

votre avatar







canti a écrit :



Google a aussi les moyens de faire le ménage dans son market, et ne se gène pas pour le faire ….. ils ont un bouncerqu’ils améliorent régulièrement pour faire le ménage dans les applications sur le market, je ne vois pas d’où tu sors que Microsoft et Google ne le ferais pas …






Oui bien sûr sauf que tu n'es pas obligé de passer par le store de Google ou de MS pour installer des applis.


&nbsp; 



Apple a les moyens de contrôler toutes la chaîne de diffusion des app, c'est bien différent chez la concurrence.

votre avatar







CryoGen a écrit :



emerge ne compile rien par lui même donc bon.

Ensuite tu peux aussi récupérer des paquets au format binaire, donc qui aurait été compilé de façon sûr (un ancien gcc, icc ou autres solutions).



Et puis bon, ici on a un compilateur modifié dans des dsitributions “pirates”… si la contamination est directement chez l’éditeur ca peut faire mal c’est clair… <img data-src=" />





Qu’est ce qui ne prouve pas que GCC est vérolé depuis sa toute première version ? Et que justement dans le “verrolage” il copie automatiquement un bout de code dans les codes de grande taille compromettant ainsi automatiquement OS et nouvelle version de GCC. Je rappelle que Grace Hooper, que l’on pourrait considérer comme la mère des compilateurs, travaillait pour l’armée américaine.



Le compilo est connu depuis longtemps comme un point faible dans la sécurité. On fait attention au code, mais beaucoup moins au binaire produit. C’est une boite noire qui se produit elle même et qui nous sort un truc imbitable pour un humain. Lui prouver une porte dérobée est difficile voir impossible.


votre avatar







tazvld a écrit :



Qu’est ce qui ne prouve pas que GCC est vérolé depuis sa toute première version ? Et que justement dans le “verrolage” il copie automatiquement un bout de code dans les codes de grande taille compromettant ainsi automatiquement OS et nouvelle version de GCC. Je rappelle que Grace Hooper, que l’on pourrait considérer comme la mère des compilateurs, travaillait pour l’armée américaine.



Le compilo est connu depuis longtemps comme un point faible dans la sécurité. On fait attention au code, mais beaucoup moins au binaire produit. C’est une boite noire qui se produit elle même et qui nous sort un truc imbitable pour un humain. Lui prouver une porte dérobée est difficile voir impossible.





&nbsp;Tu prend vraiment Tiemann ou Stallman pour des billes ??!!


votre avatar







Zyami a écrit :



Oui bien sûr sauf que tu n’es pas obligé de passer par le store de Google ou de MS pour installer des applis.

  



Apple a les moyens de contrôler toutes la chaîne de diffusion des app, c'est bien différent chez la concurrence.






<img data-src=" />


votre avatar







levhieu a écrit :



Le malware initial est dans l’environem(m)ent de développement, donc sur le téléphone.





<img data-src=" />

&nbsp;

&nbsp;Si on lit bien l’article, il s’agit bien d’applications vérolées… grâce à un environnement de dev vérolé. Mais peut-être n’ai-je pas tout compris <img data-src=" />


votre avatar

Oui oui oui très bien, mais je ne vois toujours pas le rapport ^^



&nbsp;

Et encore moins avec la convergence des plateformes à vrai dire. Mais on va dire que c’est lundi, j’ai du mal<img data-src=" />

votre avatar







waazdakka a écrit :



Et encore moins avec la convergence des plateformes à vrai dire. Mais on va dire que c’est lundi, j’ai du mal<img data-src=" />





Pour windows c’est evident, avec leurs apps universelles : ca vient du même programme, donc du même compilo, et si le compilo est vérolé, à la fois l’appli mobile et l’appli PC sont vérolées (vu que c’est la même appli).



Pour Apple, ils parlaient de mémoire de faire converger OSX et IOS. Ca se fait j’imagine avec du code commun (de plus en plus commun), et à terme un système comme MS, d’applis universelles aux plateformes Apple (ou au moins avec de gros bouts de code identiques sur l’OS, et donc dans les softs qui vont sur les plateformes en question)


votre avatar







Drepanocytose a écrit :



Pour windows c’est evident, avec leurs apps universelles : ca vient du même programme, donc du même compilo, et si le compilo est vérolé, à la fois l’appli mobile et l’appli PC sont vérolées (vu que c’est la même appli).



Pour Apple, ils parlaient de mémoire de faire converger OSX et IOS. Ca se fait j’imagine avec du code commun (de plus en plus commun), et à terme un système comme MS, d’applis universelles aux plateformes Apple (ou au moins avec de gros bouts de code identiques sur l’OS, et donc dans les softs qui vont sur les plateformes en question)





Dans les faits, c’est le cas depuis pas mal d’années, le compilo c’est XCode pour les 2 environnements.

&nbsp;



Me semble d’ailleurs qu’iOS n’est qu’un système UNIX parmi d’autres (à confirmer).


votre avatar







Zyami a écrit :



Dans les faits, c’est le cas depuis pas mal d’années, le compilo c’est XCode pour les 2 environnements.

&nbsp;





Et c’est bien XCode qui est compromis … donc le ver est dans la pomme .


votre avatar







Zyami a écrit :



Me semble d’ailleurs qu’iOS n’est qu’un système UNIX parmi d’autres (à confirmer).





me semble surtout qu’iOS est un OSX super allégé <img data-src=" />



et OSX lui même comportant un bout de Mach et de BSD, donc UNIX <img data-src=" />


votre avatar







jb18v a écrit :



me semble surtout qu’iOS est un OSX super allégé <img data-src=" />



et OSX lui même comportant un bout de Mach et de BSD, donc UNIX <img data-src=" />





Oui c’est un système UNIX concernant OS X (comme n’importe quel Linux au passage), par contre iOS est bien différent du premier, d’où mon interrogation.


votre avatar

Nous sommes d’accord, ce qui intéresse les auteurs du malware, ce sont bien les téléphones.

Mais le point de passage par la station de dev. permet éventuellement les comparaisons avec le monde Windows.

votre avatar
votre avatar

euuuh sous Windows phone, tu es obligé de passer par le market de microsoft ( j’aimerais bienque ca soit différent, mais c’est bien le cas…)

votre avatar







canti a écrit :



euuuh sous Windows phone, tu es obligé de passer par le market de microsoft ( j’aimerais bienque ca soit différent, mais c’est bien le cas…)





Il me semblait qu’il y avait moyen de bidouiller assez facilement…


votre avatar

Oo on peut pas installer d’appli custom? enfin un bete .exe?

votre avatar

pas sous windows phone,&nbsp;Windows 10 pour PC n’a pas cette limitation…

&nbsp;

&nbsp;Windows 10 pour téléphone si

votre avatar

Si je ne me trompe pas ( et je ne suis pas un spécialiste des WP) , il y a des moyens&nbsp;, mais uniquement des applications signé store, ou à être développeur (et à ce moment, ce n’est pas vraiment différent des iphones…) &nbsp;

votre avatar

Selon Ars Technica, les développeurs concernés se sont fait berner en téléchargeant XCode depuis des liens dans des forums de développeurs. Cela touche essentiellement la Chine, et il était semble-t-il plus rapide pour eux de télécharger la version contrefaite de XCode que celle de l’AppStore Mac.

votre avatar

Ah, je n’avais pas suivi l’idée de la convergence des applis chez Apple, j’avais même compris le contraire ! (Qu’ils ne voulaient surtout pas qu’OSX deviennent un iOS et inversement)



&nbsp;Après il faudrait que les accès et le fonctionnement des OS&nbsp; (Mobiles et desktop) soient réellement les mêmes, ainsi que la gestion des droits (en imaginant que WP et W10 soient maintenant plus que proches, ça semble plausible…)

&nbsp;



&nbsp;Sinon, personne n’a parlé de porter les applis Android sur linux ? Haha

votre avatar

Pas facilement justement. C’est d’ailleurs pour ça que iOS et Android sont tombés assez facilement lors de hackathon tandis que WP personne ne l’a encore fait.

votre avatar

Bon Rovio a clarifié le truc, pour Angry Birds 2 c’est que pour les clients des stores asiatiques :oui2:



https://support.rovio.com/hc/en-us/articles/210094088

votre avatar

astucieux et diabolique à la fois tout un programme

votre avatar

“On imagine que l’aventure leur aura ôté le goût des chemins alternatifs.”

Nawak

Pas parcequ on a eu du caca au bout de la mite qu on aime plus la sodo :/

J adore ces news Apple ou tout problème est ultra minimise (tout va bien Apple contrôle vos idées et une bonne partie de la vie de vos enfants) et toute amélioration en retard sur la concurence est encensée.

Faudrait voir à redéfinir le terme “INdependant”.

votre avatar

Bonne lecture : des bidouilleurs ont effectivement réussi à faire tourner des applis Android sur Linux (Chrome plus exactement) :

&nbsp;

https://www.maketecheasier.com/running-android-apps-on-linux/

&nbsp;

Et n’oublions pas Microsoft qui propose leur bridge pour recompiler des applis iOS/Android sur Windows ;)

votre avatar







le podoclaste a écrit :



Selon Ars Technica, les développeurs concernés se sont fait berner en téléchargeant XCode depuis des liens dans des forums de développeurs. Cela touche essentiellement la Chine, et il était semble-t-il plus rapide pour eux de télécharger la version contrefaite de XCode que celle de l’AppStore Mac.





En fait c’était Xgode, ils auraient dû se méfier ! <img data-src=" />


votre avatar

Attention : Microsoft offre de recompiler des applis iOs… Mais d’installer des applications natives Android grâce à une VM Android qui tourne en fond (A la manière BBerry si je ne dis pas d’ânerie)

&nbsp;

<img data-src=" />

&nbsp;

&nbsp;&gt; Testé sur mon Lumia de balancer quelques applis Android natives via les apk récupérés du Google Play… Ca fonctionne diablement bien. (… Sauf quand il s’agit d’utiliser les services Gogoles :) )

votre avatar

heu tu troll ou pas???&nbsp;&nbsp; je ne sais pas trop la…&nbsp;



&nbsp;&nbsp;jusqu’à&nbsp;maintenant j’utilise régulièrement ces sites…<img data-src=" />

votre avatar

&nbsp;

votre avatar

Pas bête quand même, pourrir le compilateur pour embarquer le malware à l’insu du plein gré des développeurs, des utilisateurs et même d’Apple. Chapeau.

votre avatar

En effet, c’est plutôt rusé. Allez savoir si une telle situation ne s’est pas déjà produite sur PC…

votre avatar

Pas besoin de ça sur PC haha

Les utilisateurs se chargent tout seuls d’aller trouver les logiciels vérolés :)

&nbsp;

Mais sinon, pourquoi parler de PC dans une news sur iOs? Serait limite plus judicieux de comparer à Windows Phone :)

votre avatar







Vekin a écrit :



En effet, c’est plutôt rusé. Allez savoir si une telle situation ne s’est pas déjà produite sur PC…





Sur PC ya pas besoin, 01.net, Cublic ou Softtonic font cela très bien ;)


votre avatar







waazdakka a écrit :



Mais sinon, pourquoi parler de PC dans une news sur iOs? Serait limite plus judicieux de comparer à Windows Phone :)





Convergence des platerformes, toussa.

One windows to rule them all, toussa…


votre avatar







Vekin a écrit :



En effet, c’est plutôt rusé. Allez savoir si une telle situation ne s’est pas déjà produite sur PC…





Impossible car sur PC, il y a microsoft qui file des outils de niveau professionnels de manière gratuite ,performante et sécurisé. En plus&nbsp; le développeur ou l’utilisateur de PC n’installe pas n’importe quoi pris de n’importe ou&nbsp; parce qu’il pense que son système est Isecurisé ou Iinvulnérable :rouhrouh:


votre avatar







Haemy a écrit :



&nbsp;En plus&nbsp; le développeur ou l’utilisateur de PC n’installe pas n’importe quoi pris de n’importe ou&nbsp; parce qu’il pense que son système est Isecurisé ou Iinvulnérable :rouhrouh:



Très rigolol. Vraiment.


votre avatar

c’est ballot <img data-src=" />

XcodeGhost, le malware qui s’est infiltré dans des applications iOS

  • Un Xcode contenant un compilateur malveillant

  • Apple a fait le ménage

Fermer