XcodeGhost : la menace fantôme dans Xcode

Mickaël Bazoge |

Une nouvelle forme d'attaque originale frappant iOS et OS X est apparue, qui frappe surtout la Chine pour le moment. Des développeurs ont pu télécharger une version vérolée de Xcode, la boîte à outils d'Apple pour concevoir des applications, depuis Baidu. Le logiciel contient un compilateur malicieux que les chercheurs en sécurité ont baptisé XcodeGhost, rapporte Palo Alto Network.

On trouvait sur Baidu ces versions infectées de Xcode.

Le fonctionnement de ce malware est particulièrement retors : une fois les applications iOS ou OS X compilées avec cette mouture de Xcode, elles peuvent récupérer différentes données de l'utilisateur (nom de l'appareil, pays, langue, numéro d'identification UUID…) pour les envoyer, à son insu, sur le serveur du coupe-jarret.

Et puisque ces applications ont été développées avec Xcode, elles deviennent légitimes aux yeux d'Apple qui les valide sans broncher sur ses boutiques. C'est le cas pour une poignée d'applications iOS apparues récemment sur l'App Store chinois — le magasin officiel, pas un de ses innombrables clones.

L'app NetEase Cloud Music fait partie des logiciels vérolés proposés légitimement par l'App Store.

Ce type de malware n'est pas spécialement nouveau (en particulier sur les autres plateformes), et sur iOS, les dégâts restent relativement circonscrits. Néanmoins, XcodeGhost montre qu'il est relativement facile d'injecter des chevaux de Troie dans des applications qui sont ensuite validées par Apple.

Prévenu, Baidu a depuis supprimé les fichiers à télécharger. La seule parade actuellement est du côté des développeurs : l'unique version officielle et légitime de Xcode est à télécharger gratuitement sur le Mac App Store.


Tags
avatar r e m y | 

Je sens que notre ami qui ne jure QUE par le Mac appStore pour télécharger des applications sans risque de choper la vérole va être très déçu de cette nouvelle...

(Nota: ce qui aide ces malandrins à ce que les développeurs chinois téléchargent leur version infestée d'XCode plutôt que la version officielle et gratuite d'Apple, c'est le débit extrêmement limité de telechargement des serveurs Apple quand on les attaquent depuis la Chine.)

avatar CNNN | 

@r e m y :
Oui le roquet de MaCG qui se prend pour Moix ^^

avatar le ratiocineur masqué | 

D'un autre coté quand on voit le nom des apps infectées (source diverses via Macrumors.com, oui j'ai fait un bête copié/collé) on ne risque pas grand chose : 

Infected iOS apps :
网易云音乐 2.8.3
微信 6.2.5
讯飞输入法 5.1.1463
滴滴出行 4.0.0.6-4.0.0.0
滴滴打车 3.9.7.1 – 3.9.7
铁路12306 4.5
下厨房 4.3.2
51卡保险箱 5.0.1
中信银行动卡空间 3.3.12
中国联通手机营业厅 3.2
高德地图 7.3.8
简书 2.9.1
开眼 1.8.0
Lifesmart 1.0.44
网易公开课 4.2.8
马拉马拉 1.1.0
药给力 1.12.1
喜马拉雅 4.3.8
口袋记账 1.6.0
同花顺 9.60.01
快速问医生 7.73
懒人周末
微博相机
豆瓣阅读
CamScanner
CamCard
SegmentFault 2.8
炒股公开课
股市热点
新三板
滴滴司机
OPlayer 2.1.05
电话归属地助手 3.6.5
愤怒的小鸟2 2.1.1
夫妻床头话 1.2
穷游 6.6.6
我叫MT 5.0.1
我叫MT 2 1.10.5
自由之战 1.1.0
Mercury
WinZip
Musical.ly
PDFReader
guaji_gangtai en
Perfect365
网易云音乐
PDFReader Free
WhiteTile
IHexin
WinZip Standard
MoreLikers2
CamScanner Lite
MobileTicket
iVMS-4500
OPlayer Lite
QYER
golfsense
同花顺
ting
installer
下厨房
golfsensehd
Wallpapers10000
CSMBP-AppStore
礼包助手
MSL108
ChinaUnicom3.x
TinyDeal.com
snapgrab copy
iOBD2
PocketScanner
CuteCUT
AmHexinForPad
SuperJewelsQuest2
air2
InstaFollower
CamScanner Pro
baba
WeLoop
DataMonitor
爱推
MSL070
nice dev
immtdchs
OPlayer
FlappyCircle
高德地图
BiaoQingBao
SaveSnap
WeChat
Guitar Master
jin
WinZip Sector
Quick Save
CamCard

avatar Shew | 

Il y a quand même de grosses applications bien connues... Comme WeChat et Camscanner (pro ou non)... Inquiétant je trouve

avatar Ginger bread | 

Ingénieux

avatar mjuaneda | 

Je vois mal un développeur télécharger une version d'Xcode ailleurs que chez Apple...

avatar frankm | 

C'est sur mais pas en Chine, le mec il le fait. Mais il croit son gouvernement. En fait il n'a personne d'autre croire !

avatar C1rc3@0rc | 

Ce qui est pourtant paradoxale puisque il me semble que Snowden avait indiqué que le détournement des workshop de programmation, dont XCode, avaient ete retenu comme stratégie pour placer du code espion...

Alors soit les chinois ignorent qui est Snowden et n'ont pas accés a Wikileaks (ce dont je doute), soit les développeurs travaillent avec le matériel que leurs fournissent leurs employeurs, et la se pose alors la question plus pertinente de savoir si ceux-ci se sont réellement fait avoir, ou s'il s'agit d'un acte délibéré?

Sinon la technique du soft verolé qui est disponible sur les sites non officiels, c'est vieux comme le monde: l’écrasante majorité des softs "deplombés" et des "patcheur" (Suite Office et Adobe en tete, sans meme parler de Windows) contiennent des malware.

Reste un gros problème, c'est qu'avec la sous-traitance multiple qui devient courante dans l’édition logicielle (et qui se fait en Chine ou en Inde) ce type de problème va augmenter. Car aujourd'hui produire un soft en assemblant des parties sous-traitées avec du code original écrit sur site, c'est courant :(

Mais il se pose une question quand meme: comment se fait il qu'Apple valide des softs écrit avec des versions de XCode modifiées. Parce que XCode possède lui même un mécanisme de certification qui ne peut pas être détourné aussi simplement que ça... Ce qui est clair c'est que ce hack ne resulte pas de simples amateurs!

avatar r e m y | 

Comme je l'expliquais dans mon premier message, depuis la Chine l'accès aux serveurs d'Apple pour télécharger XCode est EXTREMEMENT lent (un blocage volontaire des liaisons vers les USA j'imagine).

Il est beaucoup plus "confortable" en terme de débit, de télécharger depuis les serveurs locaux de Baidu

avatar flagos | 

Le problème, c'est qu'il faut croire sur parole un développeur. Celui ci peut très bien être à l'origine de la faille.

avatar poulpe63 | 

Par contre, si il y avait eu un drapeau Sudiste, ça ne serait pas passé <;p

avatar CNNN | 

Apple n'a pas la possibilité de vérifier le contenu du code pendant la validation ?

avatar Milouze | 

C'est pas exactement un malware traditionnel car ici c'est le développeur qui est berné et le code lui-même n'est pas forcément litigieux ou malveillant. C'est plus un cheval de troie, ce qui serait intéressant de savoir c'est à qui ces données sont envoyées.

Apple pourrait peut-être introduire une certification pour son X-Code ceci dit pour vérifier son intégrité mais je ne sais pas si ça peut se faire lors d'une soumission à l'appstore (vu qu'il existe d'autres plateforme de développement je ne sais pas si le passage x-code est obligatoire).

avatar Aldwyr | 

Ça, part contre, c'est vraiment malin.
je veux dire, les hackers sont quand même allé loin pour refaire un compilateur quand même.
Mais faut être con pour DDL Xcode ailleurs que depuis le Mac app store.
Donc c'est forcément volontaire...
Je vais aller voir cette version vérole de Xcode pour voir comment elle fonctionne exactement.

avatar iPal | 

Quel développeurs avec un QI supérieur à deux irait télécharger Xcode ailleurs que chez Apple ? App Store ou Dev Network ?

avatar bonnepoire | 

C'est aussi la réflexion que je me fais.

avatar heret | 

Et pourquoi pas le stagiaire à qui on a demandé de préparer les postes des dev ?

avatar Lemmings | 

@iPal : beaucoup de choses sont bloquées ou ralenties sur le net chinois, dès lors, je pourrais comprendre qu'un dev qui voudrait la nouvelle version passe par baidu (bien plus rapide) que par une autre solution. Je ne sais même pas si les chinois ont accès au MAS !

avatar thebarty | 

@Lemmings :
Mouais... Entre récupérer la version garantie et gagner quelques minutes/heures en chopant une version pas très officielle... Si c'était mon business, donc ce qui me fait vivre, je préfère attendre.

avatar r e m y | 

Essaie de telecharger XCode et ses différentes bibliothèques avec un débit de 10 kO/s et des interruptions multiples nécessitant de tout reprendre à zéro.... et on en reparle.

Si tu as à côté Google qui te dit qu'il te met à disposition un serveur proxy sur lequel tu peux la charger 1000 fois plus vite, tu vas vite basculer sur ce proxy de Google

Baidu c'est le Google chinois. Pas de raison a priori de s'en méfier!

avatar thebarty | 

@r e m y:

Bah si, rien que ta phrase "Baidu c'est le Google chinois", c'est un sacré argument pour commencer à se méfier ;-)

avatar patrick86 | 

Je me demande aussi, pourquoi donc aller télécharger ailleurs, un sort gratuit sur le site de son éditeur ? oO

avatar tonywan82 | 

C'est le gouvernement Chinois qui doit être content. Ça sert à fliquer sa population. (J'ai vécu 8 ans en Chine). Bref Apple doit contrôler... à moins qu'ils sont au courant...

avatar Sic transit | 

"coupe-jarret" me paraît un tantinet trop moyen-âgeux pour désigner des pirates versés dans la technologie. Personnellement, j'aurais opté pour un bon "Forban" de derrière les fagots ou, à la rigueur, un "Scélérat" bien senti.

avatar r e m y | 

mon "malandrins" n'a pas l'heur de te plaire?

avatar melaure | 

Pour toujours le MAS ? XCode n'est plus téléchargeable depuis le site des développeurs (dev.apple.com) ?

avatar phoenixback | 

Donc en chine même les serveurs sont bridés.

>>>>[]

CONNEXION UTILISATEUR