XcodeGhost, le malware qui s'est infiltré dans des applications iOS

XcodeGhost, le malware qui s’est infiltré dans des applications iOS

Les promesses des téléchargements alternatifs

52

XcodeGhost, le malware qui s'est infiltré dans des applications iOS

Une version contrefaite de l’environnement de développement Xcode d’Apple a permis la compilation d’applications contenant un cheval de Troie. La situation s’est surtout produite en Chine et Apple a depuis fait le ménage. Le cas rappelle cependant qu’aucune plateforme n’est à l’abri d’un souci de sécurité.

Les différentes boutiques servent de portail pour récupérer des applications depuis les appareils mobiles. Parmi leurs prérogatives, il faut noter que des processus de sécurité doivent empêcher les utilisateurs de récupérer des versions vérolées ou plus globalement des créations dont le seul objectif est de dérober des données personnelles ou conduire à des arnaques. Voilà pourquoi il est souvent conseillé aux utilisateurs d’Android de faire attention quand ils téléchargent depuis des boutiques tierces, une opération permise sur cette plateforme (après modification des paramètres).

Un Xcode contenant un compilateur malveillant

Cela n’empêche pas pour autant des systèmes plus stricts d’être eux aussi victimes de soucis de sécurité. On a pu le voir ces derniers jours avec XcodeGhost, nom donné à un cheval de Troie retrouvé dans certaines applications iOS. Mais comment une telle menace a-t-elle pu passer les sas de validation d’Apple vers l’App Store ? Parce que les applications vérolées avaient tous les airs de projets authentiques.

Ces applications ont en fait été compilées à l’aide d’une version non authentique de Xcode, l’environnement de développement proposé par Apple pour les projets ciblant toutes ses plateformes. Comment les développeurs ont récupéré initialement cette version contaminée, le mystère demeure, mais la société de sécurité Palo Alto Network a pu en mesurer les résultats (le site rencontre actuellement de grosses difficultés), puisque 39 applications sont ainsi passées à la moulinette d’un compilateur malveillant, injectant un cheval de Troie au passage. 

Apple a fait le ménage

Présentées pour validation à l’App Store, ces applications se sont bien retrouvées pendant quelques jours sur la boutique d’application. Apple a officiellement reconnu le problème dans une réponse donnée à Reuters, via la porte-parole Christine Monaghan : « Nous avons supprimé les applications de l’App Store dont nous savons qu’elles ont été développées avec le logiciel contrefait. Nous travaillons avec les développeurs pour nous assurer qu’ils utilisent la version normale de Xcode afin qu’ils revoient leurs applications ».

Parmi ces applications, on retrouve le client de messagerie WeChat, dont l’éditeur a réagi pour indiquer que la version sortie il y a deux jours était débarrassée du problème. Le scanner de cartes CamCard était également touché par le souci, mais a depuis rectifié le tir. Pour les autres, elles ont de toute façon été supprimées de l’App Store. Elles avaient toutes le potentiel de voler des informations tels que l’identifiant du téléphone et certaines informations plus générales, pour les envoyer vers un serveur. Selon Palo Alto Network cependant, il semble qu’il n’y ait pas eu de transmissions.

La société estime que ce type de menace est particulièrement sérieux. Concernant le téléchargement initial du Xcode frelaté, elle avance l’hypothèse que des développeurs ont cherché à récupérer plus rapidement l’environnement, sans passer par des serveurs d’Apple peut-être jugés trop lents. On imagine que l’aventure leur aura ôté le goût des chemins alternatifs.

Commentaires (52)


Pas bête quand même, pourrir le compilateur pour embarquer le malware à l’insu du plein gré des développeurs, des utilisateurs et même d’Apple. Chapeau.


En effet, c’est plutôt rusé. Allez savoir si une telle situation ne s’est pas déjà produite sur PC…


Pas besoin de ça sur PC haha

Les utilisateurs se chargent tout seuls d’aller trouver les logiciels vérolés :)

 

Mais sinon, pourquoi parler de PC dans une news sur iOs? Serait limite plus judicieux de comparer à Windows Phone :)








Vekin a écrit :



En effet, c’est plutôt rusé. Allez savoir si une telle situation ne s’est pas déjà produite sur PC…





Sur PC ya pas besoin, 01.net, Cublic ou Softtonic font cela très bien ;)









waazdakka a écrit :



Mais sinon, pourquoi parler de PC dans une news sur iOs? Serait limite plus judicieux de comparer à Windows Phone :)





Convergence des platerformes, toussa.

One windows to rule them all, toussa…









Vekin a écrit :



En effet, c’est plutôt rusé. Allez savoir si une telle situation ne s’est pas déjà produite sur PC…





Impossible car sur PC, il y a microsoft qui file des outils de niveau professionnels de manière gratuite ,performante et sécurisé. En plus  le développeur ou l’utilisateur de PC n’installe pas n’importe quoi pris de n’importe ou  parce qu’il pense que son système est Isecurisé ou Iinvulnérable :rouhrouh:









Haemy a écrit :



 En plus  le développeur ou l’utilisateur de PC n’installe pas n’importe quoi pris de n’importe ou  parce qu’il pense que son système est Isecurisé ou Iinvulnérable :rouhrouh:



Très rigolol. Vraiment.



c’est ballot <img data-src=" />


Vrai <img data-src=" />








Vekin a écrit :



En effet, c’est plutôt rusé. Allez savoir si une telle situation ne s’est pas déjà produite sur PC…





&nbsp;Ken Thompson, 1984… Encore plus vicelard…



Je vous invites à mettre à jour cet article.

&nbsp;

Il semble que ce ne soit pas que des application chinoise qui soient impactées.

&nbsp;

Angry Birds 2 est de la partie et tant que tous les éditeurs n’auront pas contrôlé leurs applis le sujet est loin d’êtres clos.

&nbsp;



http://uk.businessinsider.com/apps-by-attack-on-apple-app-store-2015-9

&nbsp;


Le malware initial est dans l’environement de développement, donc pas sur téléphone.








CryoGen a écrit :



Pas bête quand même, pourrir le compilateur pour embarquer le malware à l’insu du plein gré des développeurs, des utilisateurs et même d’Apple. Chapeau.





Le compilo est connu comme une faille invisible pour une attaque.



Vu que même les OS sont compilés à l’aide de compilateur (et heureusement) si celui ci est déjà faillible tout est faillible. J’imagine que GCC est compilé avec GCC. Maintenant, imagine toi que GCC soit vérolé de tel sorte qu’il se vérole lui même ainsi que les “gros code” (pour passer la barrière des tests), il se contamine en boucle et c’est pratiquement impossible de le savoir car cela signifierait de lire le code binaire produit.



Bon, le problème plus réaliste serait plus en vérité un “bug” de GCC dans la production d’un code avec une faille. Du coup, ce serait un catastrophe car c’est presque tout les programmes linux et même BSD qui seront touché.



Oui tout a fait mais moi je suis sous Gentoo



# emerge -e @system @world après avoir mis à jour GCC et voilà \o/


&nbsp; hâte de voir comment les gens vont réagir !




il faut noter que des processus de sécurité doivent empêcher les utilisateurs de récupérer des versions vérolées ou plus globalement des créations dont le seul objectif est de dérober des données personnelles ou conduire à des arnaques.



C’est pourtant bien le principal objectif de tout un tas d’application qui sont sur les stores.

Après, a voir si l’on considère la plupart des F2P et autres joyeusetés comme une arnaque..








yukon_42 a écrit :



hâte de voir comment les gens vont réagir !





Allez, paris ouverts :




  • la plupart vont s’en foutre comme d’une guigne

  • les flippés vont sortir la CB et exiger de l’Apple Care que le problème soit résolu

  • les fanboys vont nous dire que c’est pareil ou pire chez MS ou sur Android, et que donc OSEF



Justement, non, car :




  • ermerge, bien qu’écrit en python tourne très certainement sur cpython qui lui est compiler sûrement par GCC.

  • GCC a été mise à jour comment ? il faut bien le compiler à un moment donné… on tourne en boucle. Le seul moyen serait de recommencer de 0, avec un premier compilo très basique écrit en binaire pour compiler un second plus évolué (sûrement écrit en langage d’assemblage) capable de compiler GCC.



    Je ne connaissais pas mais c’est exactement ce que Seazor rapporte :




    Seazor a écrit :

    Ken Thompson, 1984… Encore plus vicelard…






emerge ne compile rien par lui même donc bon.

Ensuite tu peux aussi récupérer des paquets au format binaire, donc qui aurait été compilé de façon sûr (un ancien gcc, icc ou autres solutions).



Et puis bon, ici on a un compilateur modifié dans des dsitributions “pirates”… si la contamination est directement chez l’éditeur ca peut faire mal c’est clair… <img data-src=" />








Drepanocytose a écrit :



Allez, paris ouverts :




  • la plupart vont s’en foutre comme d’une guigne

  • les flippés vont sortir la CB et exiger de l’Apple Care que le problème soit résolu

  • les fanboys vont nous dire que c’est pareil ou pire chez MS ou sur Android, et que donc OSEF





    Oui c’est pareil chez MS ou Google à la différence qu’Apple à les moyens techniques de faire le ménage dans son store, chose qu’elle est entrain de faire en virant toute les applis concernées.



oui enfin Apple à la capacité de faire “disparaitre” les soucis plus rapidement qu’une autre entreprise c’est cela que je veux voir ^^


Google a aussi les moyens de faire le ménage dans son market, et ne se gène pas pour le faire ….. ils ont un bouncerqu’ils améliorent régulièrement pour faire le ménage dans les applications sur le market, je ne vois pas d’où tu sors que Microsoft et Google ne le ferais pas …


La compilation ne devrait-elle pas être un processus déterministe qu’on puisse contrôler ?

&nbsp;<img data-src=" />

&nbsp;

&nbsp;Certains travaillent dans ce sens.

&nbsp;








canti a écrit :



Google a aussi les moyens de faire le ménage dans son market, et ne se gène pas pour le faire ….. ils ont un bouncerqu’ils améliorent régulièrement pour faire le ménage dans les applications sur le market, je ne vois pas d’où tu sors que Microsoft et Google ne le ferais pas …






Oui bien sûr sauf que tu n'es pas obligé de passer par le store de Google ou de MS pour installer des applis.     



&nbsp;



Apple a les moyens de contrôler toutes la chaîne de diffusion des app, c'est bien différent chez la concurrence.








CryoGen a écrit :



emerge ne compile rien par lui même donc bon.

Ensuite tu peux aussi récupérer des paquets au format binaire, donc qui aurait été compilé de façon sûr (un ancien gcc, icc ou autres solutions).



Et puis bon, ici on a un compilateur modifié dans des dsitributions “pirates”… si la contamination est directement chez l’éditeur ca peut faire mal c’est clair… <img data-src=" />





Qu’est ce qui ne prouve pas que GCC est vérolé depuis sa toute première version ? Et que justement dans le “verrolage” il copie automatiquement un bout de code dans les codes de grande taille compromettant ainsi automatiquement OS et nouvelle version de GCC. Je rappelle que Grace Hooper, que l’on pourrait considérer comme la mère des compilateurs, travaillait pour l’armée américaine.



Le compilo est connu depuis longtemps comme un point faible dans la sécurité. On fait attention au code, mais beaucoup moins au binaire produit. C’est une boite noire qui se produit elle même et qui nous sort un truc imbitable pour un humain. Lui prouver une porte dérobée est difficile voir impossible.









tazvld a écrit :



Qu’est ce qui ne prouve pas que GCC est vérolé depuis sa toute première version ? Et que justement dans le “verrolage” il copie automatiquement un bout de code dans les codes de grande taille compromettant ainsi automatiquement OS et nouvelle version de GCC. Je rappelle que Grace Hooper, que l’on pourrait considérer comme la mère des compilateurs, travaillait pour l’armée américaine.



Le compilo est connu depuis longtemps comme un point faible dans la sécurité. On fait attention au code, mais beaucoup moins au binaire produit. C’est une boite noire qui se produit elle même et qui nous sort un truc imbitable pour un humain. Lui prouver une porte dérobée est difficile voir impossible.





&nbsp;Tu prend vraiment Tiemann ou Stallman pour des billes ??!!









Zyami a écrit :



Oui bien sûr sauf que tu n’es pas obligé de passer par le store de Google ou de MS pour installer des applis.

 



Apple a les moyens de contrôler toutes la chaîne de diffusion des app, c'est bien différent chez la concurrence.







<img data-src=" />









levhieu a écrit :



Le malware initial est dans l’environem(m)ent de développement, donc sur le téléphone.





<img data-src=" />

&nbsp;

&nbsp;Si on lit bien l’article, il s’agit bien d’applications vérolées… grâce à un environnement de dev vérolé. Mais peut-être n’ai-je pas tout compris <img data-src=" />



Oui oui oui très bien, mais je ne vois toujours pas le rapport ^^



&nbsp;

Et encore moins avec la convergence des plateformes à vrai dire. Mais on va dire que c’est lundi, j’ai du mal<img data-src=" />








waazdakka a écrit :



Et encore moins avec la convergence des plateformes à vrai dire. Mais on va dire que c’est lundi, j’ai du mal<img data-src=" />





Pour windows c’est evident, avec leurs apps universelles : ca vient du même programme, donc du même compilo, et si le compilo est vérolé, à la fois l’appli mobile et l’appli PC sont vérolées (vu que c’est la même appli).



Pour Apple, ils parlaient de mémoire de faire converger OSX et IOS. Ca se fait j’imagine avec du code commun (de plus en plus commun), et à terme un système comme MS, d’applis universelles aux plateformes Apple (ou au moins avec de gros bouts de code identiques sur l’OS, et donc dans les softs qui vont sur les plateformes en question)









Drepanocytose a écrit :



Pour windows c’est evident, avec leurs apps universelles : ca vient du même programme, donc du même compilo, et si le compilo est vérolé, à la fois l’appli mobile et l’appli PC sont vérolées (vu que c’est la même appli).



Pour Apple, ils parlaient de mémoire de faire converger OSX et IOS. Ca se fait j’imagine avec du code commun (de plus en plus commun), et à terme un système comme MS, d’applis universelles aux plateformes Apple (ou au moins avec de gros bouts de code identiques sur l’OS, et donc dans les softs qui vont sur les plateformes en question)





Dans les faits, c’est le cas depuis pas mal d’années, le compilo c’est XCode pour les 2 environnements.

&nbsp;



Me semble d’ailleurs qu’iOS n’est qu’un système UNIX parmi d’autres (à confirmer).









Zyami a écrit :



Dans les faits, c’est le cas depuis pas mal d’années, le compilo c’est XCode pour les 2 environnements.

&nbsp;





Et c’est bien XCode qui est compromis … donc le ver est dans la pomme .









Zyami a écrit :



Me semble d’ailleurs qu’iOS n’est qu’un système UNIX parmi d’autres (à confirmer).





me semble surtout qu’iOS est un OSX super allégé <img data-src=" />



et OSX lui même comportant un bout de Mach et de BSD, donc UNIX <img data-src=" />









jb18v a écrit :



me semble surtout qu’iOS est un OSX super allégé <img data-src=" />



et OSX lui même comportant un bout de Mach et de BSD, donc UNIX <img data-src=" />





Oui c’est un système UNIX concernant OS X (comme n’importe quel Linux au passage), par contre iOS est bien différent du premier, d’où mon interrogation.



Nous sommes d’accord, ce qui intéresse les auteurs du malware, ce sont bien les téléphones.

Mais le point de passage par la station de dev. permet éventuellement les comparaisons avec le monde Windows.


euuuh sous Windows phone, tu es obligé de passer par le market de microsoft ( j’aimerais bienque ca soit différent, mais c’est bien le cas…)








canti a écrit :



euuuh sous Windows phone, tu es obligé de passer par le market de microsoft ( j’aimerais bienque ca soit différent, mais c’est bien le cas…)





Il me semblait qu’il y avait moyen de bidouiller assez facilement…



Oo on peut pas installer d’appli custom? enfin un bete .exe?


pas sous windows phone,&nbsp;Windows 10 pour PC n’a pas cette limitation…

&nbsp;

&nbsp;Windows 10 pour téléphone si


Si je ne me trompe pas ( et je ne suis pas un spécialiste des WP) , il y a des moyens&nbsp;, mais uniquement des applications signé store, ou à être développeur (et à ce moment, ce n’est pas vraiment différent des iphones…) &nbsp;


Selon Ars Technica, les développeurs concernés se sont fait berner en téléchargeant XCode depuis des liens dans des forums de développeurs. Cela touche essentiellement la Chine, et il était semble-t-il plus rapide pour eux de télécharger la version contrefaite de XCode que celle de l’AppStore Mac.


Ah, je n’avais pas suivi l’idée de la convergence des applis chez Apple, j’avais même compris le contraire ! (Qu’ils ne voulaient surtout pas qu’OSX deviennent un iOS et inversement)



&nbsp;Après il faudrait que les accès et le fonctionnement des OS&nbsp; (Mobiles et desktop) soient réellement les mêmes, ainsi que la gestion des droits (en imaginant que WP et W10 soient maintenant plus que proches, ça semble plausible…)

&nbsp;



&nbsp;Sinon, personne n’a parlé de porter les applis Android sur linux ? Haha


Pas facilement justement. C’est d’ailleurs pour ça que iOS et Android sont tombés assez facilement lors de hackathon tandis que WP personne ne l’a encore fait.


Bon Rovio a clarifié le truc, pour Angry Birds 2 c’est que pour les clients des stores asiatiques :oui2:



https://support.rovio.com/hc/en-us/articles/210094088


astucieux et diabolique à la fois tout un programme


“On imagine que l’aventure leur aura ôté le goût des chemins alternatifs.”

Nawak

Pas parcequ on a eu du caca au bout de la mite qu on aime plus la sodo :/

J adore ces news Apple ou tout problème est ultra minimise (tout va bien Apple contrôle vos idées et une bonne partie de la vie de vos enfants) et toute amélioration en retard sur la concurence est encensée.

Faudrait voir à redéfinir le terme “INdependant”.


Bonne lecture : des bidouilleurs ont effectivement réussi à faire tourner des applis Android sur Linux (Chrome plus exactement) :

&nbsp;

https://www.maketecheasier.com/running-android-apps-on-linux/

&nbsp;

Et n’oublions pas Microsoft qui propose leur bridge pour recompiler des applis iOS/Android sur Windows ;)








le podoclaste a écrit :



Selon Ars Technica, les développeurs concernés se sont fait berner en téléchargeant XCode depuis des liens dans des forums de développeurs. Cela touche essentiellement la Chine, et il était semble-t-il plus rapide pour eux de télécharger la version contrefaite de XCode que celle de l’AppStore Mac.





En fait c’était Xgode, ils auraient dû se méfier ! <img data-src=" />



Attention : Microsoft offre de recompiler des applis iOs… Mais d’installer des applications natives Android grâce à une VM Android qui tourne en fond (A la manière BBerry si je ne dis pas d’ânerie)

&nbsp;

<img data-src=" />

&nbsp;

&nbsp;&gt; Testé sur mon Lumia de balancer quelques applis Android natives via les apk récupérés du Google Play… Ca fonctionne diablement bien. (… Sauf quand il s’agit d’utiliser les services Gogoles :) )


heu tu troll ou pas???&nbsp;&nbsp; je ne sais pas trop la…&nbsp;



&nbsp;&nbsp;jusqu’à&nbsp;maintenant j’utilise régulièrement ces sites…<img data-src=" />


&nbsp;


Fermer