XcodeGhost : une épidémie qui a commencé au printemps
Le nombre d’applications contaminées par XcodeGhost pourrait bien être bien plus important qu’annoncé jusqu’à présent. La société de sécurité informatique Appthority en a dénombré 476, dont l’apparition date du mois d’avril. L’épidémie est donc loin d’être récente, et il est étonnant de s’apercevoir que malgré le tamis d’Apple et de l’équipe de validation de l’App Store, ces logiciels infectés aient pu prospérer sans éveiller les soupçons jusqu’à très récemment.
On est donc très loin des 25 apps infectées comptées par Apple auxquelles Phil Schiller faisait référence dans une interview donnée au site Sina.com. FireEye estime ce chiffre à plus de 4 000 logiciels qui ont utilisé la version de Xcode trafiquée ; lors de la compilation des applications, l’outil injecte un cheval de Troie à l’insu du développeur.
La bonne nouvelle si on ose dire, c’est que les apps vérolées par XcodeGhost ne provoquent pas de catastrophes de grande ampleur ; on est plus proche d’un adware que d’un programme malicieux attentant à la sécurité des machines ou des personnes (vol d’identifiant et de mot de passe iCloud, par exemple). Ce n’est pas d’un très grand réconfort on en convient, mais c’est toujours mieux qu’un malware virulent.
Apple a communiqué auprès des développeurs à ce sujet, en leur rappelant que les outils mis à la disposition de tous doivent être téléchargés impérativement depuis le Mac App Store. Pour faciliter la vie de tous, le constructeur va également accélérer le téléchargement de Xcode en Chine (lire : « Apple fait de la pédagogie auprès des développeurs après XcodeGhost).
Si du côté des développeurs, les choses ont l’air de se (re)mettre en place, auprès du grand public on attend une communication claire : en absence d’une liste d’applications officielle, il faut se renseigner chez chaque éditeur, ce qui est particulièrement fastidieux. Rovio a ainsi annoncé que seule la version distribuée en Chine d’Angry Birds 2 était affectée ; en revanche, il faudra bien télécharger la dernière mise à jour de WinZip qui « résout les problèmes de sécurité liés à Xcode ».
Je comprend vraiment pas quel programmeur s'amuse à télécharger xCode à partir d'un site autre que celui d'Apple. WTF
- celui qui n'a pas le choix!
- celui qui est irresponsable
- celui qui est employé par un service d'espionnage
...
Faut aussi savoir que les usines de codeurs chinoises sont du meme type que les autres usines qui sous traitent le commandes occidentales => du travail a la chaine avec des horaires de folies, des salaires de misére, des rythmes inhumains, et des postes de travail sur lesquels ces employés n'ont aucun controle!
La on est pas dans la version petites equipes artisanales ou grosses structures occidentales ou les dev sont des ingenieurs qui ont leurs mots a dire, on est sur des chaines de montages stackanovistes!
Et mine de rien, pour installer la version verolé d'Xcode, il a fallut desactiver la securité sur chaque Mac, Xcode etant signé...
Ne suffirait-il pas, comme un lecteur l'a suggéré dans un autre post, qu'Apple casse à distance les applications incriminées ?
Evidemment, ce pourrait être un précédent dangereux...
Mais Apple ne se gêne pas quand il s'agit de censurer des bêtises.
Ici, pour le compte...
Apple fera ça uniquement si on découvre un virus ou une faille permettant de prendre le contrôle en mode administrateur a distance d'une app largement diffusée (et exploitant une faille 0-day).
Pour l'instant il semble que la stratégie décrite par Snowden n'ait pas été détournée pour provoquer une attaque de ce type, mais cela reste possible, preuve est faite.
La preuve est aussi faite que les dirigeants et responsables des agences d'espionnages étatiques voulant imposer l'installation de portes dérobées sont irresponsables et malfaisants!
On vient de franchir une étape majeure, et la balle est dans le camp des développeurs: ils doivent chiffrer systématiquement les données utilisées, stockées et expédiées par leurs applications et ils doivent mettre en place ce fonctionnement par eux mêmes (avec du code audité)!
L’utilisateur a la responsabilité de n'utiliser que des applications garantissant le chiffrement global des données personnelles a commencer par le carnet d'adresses et les clients email et qu'ils incluent d'origine des solutions de chiffrement type GPG
https://gpgtools.org/
«La bonne nouvelle si on ose dire, c’est que les apps vérolées par XcodeGhost ne provoquent pas de catastrophes de grande ampleur»
On le suppose pour l'instant... Mais si on decouvre qu'une de ces applications a exploité une faille pour collecter des nº de carte bancaires, ou de securité sociale, ça va être plus embêtant que les images dénudées de starlettes qui se baladent sur le Web...
La bonne nouvelle c'est surtout que l'on voit que la faille de securite ne se situe pas au niveau de l'App Store, mais en amont, et que la solution c'est qu'Apple verrouille un peu plus Xcode et restreigne beaucoup plus les alternatives. En gros, va falloir certifier Xcode lors de la soumission de n'importe quelle application!
Franchement, j'ai perdu confiance envers l'App Store et je suis tenté de supprimer TOUS les logiciels téléchargés afin de minimiser les risques.
Apple communique très mal devant l'ampleur du souci. Il faudrait une vraie communication de crise et en effet supprimer a distance le logiciel vérolé.
Lamentable.
@gwen :
Tout supprimer ? Supprimes ton "smartphone" alors !
Tu devrais te contenter du filaire alors. Et encore, les écoutes, ça existe. Non, mieux, il faut voir les gens et leur parler de face à face.
Ben non, les applications d'origines (Apple) synchronisées via iCloud sont largement suffisantes pour justifier l'acquisition d'un Smartphone.
Il ne faut pas être complètement débile non plus.
@gwen
Je pense que tu n'as aucune idee du problème.
L'App store est toujours aussi fiable, la faille vient du coté du developpeur.
Et la détection de ce type de faille est quasi impossible avant l'activation du fonctionnement scelerat.
Rends toi compte d'une chose, c'est qu'Apple verrouille déjà beaucoup de choses (API obligatoire, version de Xcode, mode 64bit, signature, bac a sable, limitation de l' IPC, gestion de la mémoire, langage de programmation,...) pour sécuriser les App soumises et cela fait d'ailleurs grincer des dents, que ce soit légitime ou opportun.
Pour détecter un troyen installé par le développeur (consciemment ou a son insu) il faudrait avoir accès au code source et disposer d'analystes (programmes ou humains) qui comprennent le code dans son ensemble!
Depuis les revelations de Snowden il a ete demontré que des soft opensource largement utilisés avaient ete caviardé et personne s'en etait rendu compte!
Je ne connais pas de logiciels de preuve informatique capables de détecter ce genre de procédé.
Ce veut donc dire qu'il faudrait énormément de personnel et de temps pour auditer et certifier chaque applications.
Tu sais combien il y a d'applications sur l'app store?
Et déjà les éditeurs "gueulent" contre les délais qu'imposent la certification...
La seule chose qu'Apple puisse reellement faire aujourd'hui c'est de verrouiller un peu plus le développement et d'engager la responsabilité du développeur avec une certification personnelle qui sera verifiée a chaque soumission.
Mais même cela n’empêchera jamais un développeur d'installer une fonction scélérate a l’intérieur d'un soft.
"il a ete demontré que des soft opensource largement utilisés avaient ete caviardé et personne s'en etait rendu compte!"
Quelques exemples à fournir ?
@GoldenPomme :
Il fait sans doute référence à openssl pré 1.0.1g touché par la faille heartbleed.
@ C1rc3@0rc : « Pour détecter un troyen installé par le développeur (consciemment ou a son insu) il faudrait avoir accès au code source et disposer d'analystes (programmes ou humains) qui comprennent le code dans son ensemble! »
Notons que dans le cas présent, même l’accès au code source ne servirait à rien, puisqu’il ne contient aucune trace du cheval de Troie.
+1
Mais une compilation démontrerait facilement que le soft produit divergerait du soft soumis, donc qu'il y a eu altération ou que le code source fournit n'est pas celui qui a servi.
Apres, il peut toujours y avoir des failles dans les librairies incluses, mais la aussi Apple peut disposer de checksum permettant de vérifier la validité de ces lib...
Les développeurs sont ils des manches pour dl xCode en dehors de l'app store ou du dev portal ?
Il n'y a pas quelque part la liste complète - à ce jour - des applications vérolés ?
Je suis peut être chauvin mais rien que le préfixe "WIN" ne m'inspire pas confiance. C'est sûrement des séquelles d'une vielle guerre.
Bon ben, finalement, on fait comment pour savoir si on a une app vérolée ?
Macg, ce qui serait intéressant, c'est de faire un article sur l'infection, que fessait telle exactement ? Est ce que la suppression de l'application est suffisant ? Quelles données ont était exploités ?
Car hormis des rumeurs sur un malware... On c'est pas trop sur quoi on est tombé pour le moment...
Les dégâts semblent cependant très limités. XcodeGhost n’avait en effet pas une grande capacité de nuisance. Les informations potentiellement volées incluaient le numéro de téléphone, l’identifiant unique de l’appareil et quelques données assez générales comme la langue et le pays. Pas d'autres données personnelles, messages, contacts, emails, photos, vidéos, identifiants et autres donc.
@nextimpact
;-)