Discussion :

[Stéphane le calme]

Apple procède à un nettoyage de son App Store,
pour se débarrasser des applications affectées par le malware XcodeGhost

Pour développer des applications sur les plateformes d’Apple Mac OS X et iOS, les développeurs se servent d’outils de développement regroupés au sein de l’environnement de développement Xcode. Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications.

Aussi, les projets légitimes développés avec cette mouture vont être infectés. Ryan Olson, directeur de la section Threat Intelligence pour le compte de Palto Alto Networks, estime que la version contrefaite de Xcode a été téléchargée depuis un serveur en Chine que les développeurs auraient pu utiliser parce qu’ils permettent un téléchargement plus rapide que s’il était fait depuis des serveurs basés aux USA.

Les applications développées avec le clone de Xcode vont réussir à contourner les mécanismes de sécurité mis en place par Apple pour pouvoir passer sur sa vitrine de téléchargement. XCodeGhost se connecte d'abord à un centre de commandement et de contrôle (C2C) pour envoyer des informations extraites du téléphone (heure, nom de l'appareil, numéro d’utilisateur UUID - Universal Unique Identifier -, etc.). Par la suite, l’application infectée reçoit des instructions. Elle pourrait par exemple prendre le contrôle de préfixes d'URL spécifiques utilisées par d'autres applications (par exemple l’URL twitter:// qui est censée ouvrir l’application correspondante), lire ou écrire dans le presse-papier, inviter la victime à saisir ses informations d’authentification (nom d’utilisateur, mots de passe) en lançant une boîte de dialogue. Sur ce dernier point, Palto Alto Networks avance que « puisque la boîte de dialogue est lancée depuis une application en exécution, la victime pourrait être en confiance et entrer son mot de passe sans jamais se douter de la supercherie ».

Suite à ces révélations, Apple a décidé de faire le grand ménage dans son App Store. C’est le premier cas rapporté d’un grand nombre de logiciels malveillants qui ont pu passer à travers les mailles du filet du processus strict d’examen des applications ; Palto Alto Network a avancé qu’avant cette attaque, seules cinq applications malveillantes avaient été trouvées dans l’App Store contre une quarantaine cette fois ci et qui peuvent potentiellement affecter des centaines de millions d’utilisateurs. Parmi les applications infectées par XcodeGhost figurent des applications populaires comme WinZIp, CamScanner Pro (qui permet de scanner des cartes de visite pour pré-remplir les fiches de contact) mais également WeChat (qui compte près de 500 millions d’utilisateurs, toutes plateformes confondues) en version 6.2.5, NetEase (musique en ligne) et Didi Kuaidi (covoiturage).

Christine Monaghan, porte-parole d’Apple, a assuré que « nous avons retiré les applications de l’App Store que nous savons avoir été conçues avec ce logiciel pirate. Nous sommes en discussion avec les développeurs afin de nous assurer qu'ils utilisent bien la version légitime de Xcode pour recompiler leurs applications ». Elle n’a cependant pas donné la conduite à tenir aux utilisateurs. A ce propos, certains éditeurs comme WeChat, Didi Kuaidi ou NetEase ont pris les devants et ont proposé aux utilisateurs de télécharger un correctif. Ces deux éditeurs ont assuré à leurs utilisateurs qu’une investigation préliminaire n’a montré aucun signe de vol de données.

Les versions vérolées de Xcode étaient hébergées sur des serveurs de Baidu qui a déjà supprimé les liens de téléchargement.

source : Reuters, NYT, Palo Alto Networks

[Paul TOTH]

Excellent

je l'évoquais il y a quelques mois dans une discussion Libre vs Propriétaire...voici un bel exemple d'attaque qui compromet tous les développements, Libre ou pas, car c'est directement l'environnement de développement qui est ciblé.

Finalement pour avoir un logiciel à l'abris des backs doors, il faut non seulement un logiciel libre, mais il doit aussi être développé avec des outils libres, de préférence sur un OS libre....après le matériel de nos jours étant de plus en plus évolué, on peut se demander pourquoi le BIOS tenait dans une poignée d'octets en EEPROM alors que EUFI a besoin d'une partition de 300 Mo et ce que le fabriquant peut bien y mettre

[Traroth2]

"Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications"

Ca veut dire quoi "diffusée par la suite auprès des développeurs d’applications", ça ? C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?

Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.

[RyzenOC]

je l'évoquais il y a quelques mois dans une discussion Libre vs Propriétaire...voici un bel exemple d'attaque qui compromet tous les développements, Libre ou pas, car c'est directement l'environnement de développement qui est ciblé.

Le libre ne garantie pas qu'il n'y a pas de failles.

[Zirak]

C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?

Non, ils ont dû le mettre en ligne sur un site de téléchargement genre Téléchargez.com ou Clubic, ou dans le même genre (enfin un équivalent chinois).

Enfin si j'ai bien compris ce qu'il y a d'écrit dans l'article DVP.

[Uther]

Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.

Malheureusement ça arrive très souvent a des logiciel libres aussi. Mozilla n’arrête pas de ce battre contre ça. Notepad++ a eu pas mal de problème. Et il y a peu SourceForge a créé un scandale en fournissant des version pourries de différents projets qu'ils hébergeaient dont Gimp.

[Paul TOTH]

"Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications"

Ca veut dire quoi "diffusée par la suite auprès des développeurs d’applications", ça ? C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?

Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.

si tu compiles un logiciel FLOSS avec un XCode "ghost" tu obtiens une application vérolée selon Apple; si tu la compiles avec le XCode officiel, tu as une application sur laquelle Apple à la main car ils auront décidé de la forme binaire de l'application FLOSS qui peut très bien contenir un backdoor made in Apple. Pour savoir exactement ce que fait l'application FLOSS il faut la compiler sous GCC ou équivalent - compilé par lui-même évidemment

[Uther]

si tu compiles un logiciel FLOSS avec un XCode "ghost" tu obtiens une application vérolée selon Apple; si tu la compiles avec le XCode officiel, tu as une application sur laquelle Apple à la main car ils auront décidé de la forme binaire de l'application FLOSS qui peut très bien contenir un backdoor made in Apple. Pour savoir exactement ce que fait l'application FLOSS il faut la compiler sous GCC ou équivalent - compilé par lui-même évidemment

Le compilateur de base de XCode est CLang qui est libre lui aussi.

[Traroth2]

Mouais... "Les versions en question ne sont pas celles proposées au téléchargement sur les serveurs d’Apple. Elles ont été mises à disposition sur un service tiers de stockage en ligne", ça nous avance toujours pas des masses.

[Traroth2]

Malheureusement ça arrive très souvent a des logiciel libres aussi. Mozilla n’arrête pas de ce battre contre ça. Notepad++ a eu pas mal de problème. Et il y a peu SourceForge a créé un scandale en fournissant des version pourries de différents projets qu'ils hébergeaient dont Gimp.

Oui, mais ça ne concerne que les gens qui téléchargent sur un autre site que le site officiel. Et pour un logiciel FLOSS, je me demande vraiment pourquoi quelqu'un fait ça. Ce qui ne veut pas dire que personne ne le fait, je veux bien l'admettre. Mais c'est quand même d'abord un cas de PEBKAC...

[Uther]

Pour les logiciels propriétaires aussi, ça n'arrive que si on ne télécharge pas sur le site officiel. Et XCode etant téléchargeable gratuitement sur le site d'apple, il y a pas plus de raison de le télécharger sur un site tiers que n'importe quel logiciel libre.

Oui on peut considérer ça comme un PEBKAC mais c'est de toute façon le cas de 99,9% des problèmes informatiques. On peut avoir plein de raisons qui font que l'on se retrouve à télécharger sur un site non officiel:

• Le plus souvent c'est la flemme : on tombe sur un lien lors de ses recherches et on télécharge sans réfléchir davantage.
• Dans le cas présent : la Chine, les connexions vers l’étranger sont souvent mauvaises, donc on préfère souvent télécharger sur des sites locaux même les logiciels gratuits.
• Certains ont tellement l'habitude de tout télécharger, qu'ils ne se posent même plus la question de si c'est réellement gratuit ou non, il téléchargent sur tout leur site pirate.

[Stéphane le calme]

Apple indique aux développeurs comment vérifier l'identité de leurs copies de Xcode,
suite aux sévices du malware XcodeGhost

Après que son portail de téléchargement ait été le siège de nombreuses applications infectées par le malware XcodeGhost, Apple a décidé qu’il serait utile que les développeurs sachent comment vérifier que la version de l’EDI Xcode qu’ils ont installé est d’origine.

« Nous avons récemment été amenés à retirer des applications de l’App Store qui ont été conçues avec une version contrefaite de Xcode, laquelle pouvait potentiellement causer préjudice aux clients. Vous devriez toujours télécharger Xcode directement depuis le Mac App Store ou depuis le site Apple Developper et laisser activé Gatekeeper sur tous vos systèmes afin de les protéger contre les logiciels trafiqués ».

Apple rappelle que lorsque vous téléchargez Xcode depuis le Mac App Store, OS X vérifie automatiquement la signature de code de Xcode pour savoir s’il est signé par Apple. La même chose se produit si vous téléchargez Xcode depuis le site Apple dédié aux développeurs aussi longtemps que vous n’aurez pas désactivé Gatekeeper. De toute façon, que vous ayez téléchargé Xcode sur les canaux officiels d’Apple ou que vous l’ayez eu depuis d’autres sources, la vérification de l’intégrité de votre copie de Xcode est aisée.

Pour vérifier l’identité de la copie de votre EDI, lancez la commande suivante en prenant bien soin de vérifier que Gatekeeper est actif :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

spctl --assess --verbose /Applications/Xcode.app

Comme vous pouvez le constater sur le chemin, /Applications/ est le fichier dans lequel est installé Xcode. Cette opération peut durer quelques minutes mais voici les résultats que vous devriez obtenir :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
/Applications/Xcode.app: accepted
source=Mac App Store

Pour un téléchargement qui a été fait sur le Mac App Store

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
/Applications/Xcode.app: accepted
source=Apple

ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
/Applications/Xcode.app: accepted
source=Apple System

pour un téléchargement qui a été fait sur le site développeur d’Apple.

« Tout résultat différent de ‘accepted’ ou toute source différente de ‘Mac App Store’, ‘Apple System’ ou ‘Apple’ est le signe que la signature de l’application n’est pas valide pour Xcode. Vous devrez alors télécharger une autre copie de Xcode et recompiler vos applications avant de pouvoir les soumettre pour examen », a indiqué Apple.

Source : blog développeurs Apple

[Paul TOTH]

Le compilateur de base de XCode est CLang qui est libre lui aussi.

celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent. C'est la même différence qu'il y a entre Google Chrome et Chromium.

[Le Vendangeur Masqué]

celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent.

Genre un bidouilleur pourrait pas tout simplement comparer des applications obtenues à l'aide de ces d'un compilateur fourni par Apple et un autre obtenu à partir des sources ? Tu crois qu'il n'existe personne d'assez compétent et/ou curieux pour essayer ça et voir d'éventuelles différences entre les binaires ?
Ça se verrait très vite !

De plus ta théorie d'Apple qui trufferait ton code au malware souffre de deux autres problèmes:
1/ un malware ça communique avec l'extérieur, et il est ultra facile d'intercepter ce qui rentre ou sort d'un ordinateur. Là encore la moindre vilaine bête se verrait à l'analyse la plus basique.
2/ tu accuses des gens, sans la moindre preuve, et comme tout bon fanatique tu cherches à jouer sur les peurs. Mais ici on est pas sur Yahoo et ton baratin fleurant la diffamation ne prendra pas.

[Uther]

celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent. C'est la même différence qu'il y a entre Google Chrome et Chromium.

Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.

[Paul TOTH]

Genre un bidouilleur pourrait pas tout simplement comparer des applications obtenues à l'aide de ces d'un compilateur fourni par Apple et un autre obtenu à partir des sources ? Tu crois qu'il n'existe personne d'assez compétent et/ou curieux pour essayer ça et voir d'éventuelles différences entre les binaires ?
Ça se verrait très vite !

De plus ta théorie d'Apple qui trufferait ton code au malware souffre de deux autres problèmes:
1/ un malware ça communique avec l'extérieur, et il est ultra facile d'intercepter ce qui rentre ou sort d'un ordinateur. Là encore la moindre vilaine bête se verrait à l'analyse la plus basique.
2/ tu accuses des gens, sans la moindre preuve, et comme tout bon fanatique tu cherches à jouer sur les peurs. Mais ici on est pas sur Yahoo et ton baratin fleurant la diffamation ne prendra pas.

je n'accuse personne de quoi que ce soit, j'explique simplement un fait, Apple, en verrouillant complètement l'environnement de développement a la possibilité de faire ce qu'il veut.

Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.

Si je ne m'abuse Gentoo est déployé sous forme de source.

D'autre part SRWare Iron ou CyanogenMod qui ne font à priori pas confiance à Google, proposent Chromium et Android sans la partie non publique des versions Google.

je ne connais pas d'équivalent sur iPhone, et même Delphi qui propose le développement OSX et iOS sous Windows a besoin d'un Mac et de l'AppleStore pour développer pour iPhone. C'est une restriction imposée par Apple.

[Olivier Famien]

XcodeGhost : la liste des applications infectées par le malware s’allonge
l’entreprise de sécurité Lookout donne des recommandations

Faisant suite à la détection du malware XcodeGhost sur la plateforme iOS, Apple a procédé à un nettoyage de son App Store et a donné dans la foulée plusieurs indications aux développeurs afin de vérifier l’identité de leurs copies de Xcode.

Ainsi en exécutant certaines commandes, il est possible pour chaque développeur de savoir si la version de Xcode utilisée pour compiler son application est authentique ou a subi des modifications non autorisées.

Le malware ayant été démasqué et les développeurs pouvant effectuer des contrôles pour vérifier l’authenticité de leurs applications, l’heure est maintenant à l’inventaire des dégâts sur la plateforme iOS.

Dès les premières heures de la découverte de l’infection, les chiffres ne donnaient que cinq applications infectées sur la plateforme d’applications iOS. La firme de sécurité Palo Alto a allongé sa liste à 39 applications au lendemain de l’infection.

Mais au fil des jours, le nombre d’applications touchées par ce malware n’a cessé de croitre. Aussi, l’entreprise de sécurité Lookout a dressé sa liste personnelle recensant les applications infectées. Dans cette liste, on peut retrouver les applications :

• Crazy Fishing Saga, Crazy Fish 2, Pop owls, Candy Crazy Fish
• Sea Diamond, Fishing Ares, Pet Forest-crazy, Multi Attach Mail
• CamCard Business, CamScanner Free, CamScanner +, CamScanner Pro
• WeChat, WinZip, OPlayer HD Lite, LifeSmart, 10000+ Wallpapers
• Magic Likes Liker for Istagram, Maya Mysterious, Device Tracker for iPhone iPad
• Free Calls Text, Beauty Salon Monster Girls Makeover, Crazy Bubble OL, MyChevy
• MyChevy, Excavator Stunt 2015, Parking 3D, Little Miss Party Girls, Foscam, Celebrity Fashion Stylist Salon

Comme le precise Lookout, cette liste n’est pas exhaustive. D’autres sources auraient ajouté les applications suivantes :

• Mercury, WinZip, Musical.ly, PDFReader, guaji_gangtai
• Perfect365, PDF Reader Free, WhiteTile, IHexin
• Winzip Satndard, More Likers 2, Mobile Ticket,
• iVMS-4500, QYER, golfsense, installer, golfsensehd
• Wallpapers10000, CSMBP-AppStore, MSL108, ChinaUnicom3.x
• TinyDeal.com, Snapgrab Copy, iOBD2, PocketScanner, CuteCUT
• AmHexinForPad, SuperJewelsQuest2, air2, InstaFollower, baba
• WeLoop, DataMonitor, MSL070, Nice dev, immtdchs, FlappyCircle
• BiaoQingBao, SaveSnap, Guitar Master, jin, Winzip Sector, Quick Save

En marge de la liste dressée par Lookout, l’entreprise de sécurité a également apporté des recommandations préventives afin de limiter l’infection le cas échéant.

Ainsi, si vous avez installé une application parmi celles qui ont été listées ou d’autres reconnues comme malicieuses, Lookout recommande d’effectuer la mise à jour vers la version la plus récente. À défaut de mise à jour disponible, il est demandé de procéder à la suppression de l’application.

Également, si une application compilée avec XcodeGhost tourne sur votre téléphone, il est recommandé de changer le mot de passe principal Apple ID et d'être très méfiant pour toutes notifications et tous mails suspects demandant vos informations personnelles.

En outre, Lookout demande d’être très vigilant face aux boites de dialogue des applications demandant des informations personnelles sans pour autant savoir qui est à l'origine de l’affichage de cette boite.

Enfin, si vous avez utilisé votre mot de passe Apple ID sur d’autres comptes, il est recommandé de changer le mot de passe de ces comptes.

Source : Lookout

Et vous ?

Trouvez-vous la liste d’applications infectées utile ?

Que pensez-vous de ces recommandations ?


Voir aussi
Forum Apple

[grunk]

C'est beau tout ces nom d'applications où on colle le maximum de mot clé à la mode. Ça respire la qualité ^^

[qvignaud]

Une question me taraude : comment les développeurs ont fait pour avoir ce malware ?

Si même les développeurs ne téléchargent plus les logiciels depuis les sites officiels des éditeurs on ne va pas pouvoir s'en sortir…

[Stéphane le calme]

De nombreuses entreprises utilisent encore des applications infectées par XcodeGhost,
selon une analyse de FireEye

En septembre dernier, des hackers ont mis sur pied une version modifiée de l’EDI Xcode qui embarquait le malware XcodeGhost, lequel a été diffusé par la suite auprès des développeurs d’applications Mac OS X et iOS, infectant ainsi les projets légitimes.

Ryan Olson, directeur de la section Threat Intelligence pour le compte de Palto Alto Networks, avait avancé que la version contrefaite de Xcode a été téléchargée depuis un serveur en Chine que les développeurs auraient pu utiliser parce qu’ils permettent un téléchargement plus rapide que s’il était fait depuis des serveurs basés aux USA.

De nombreuses applications se sont vues infecter, touchant ainsi des centaines de millions d’utilisateurs. Parmi elles figuraient des applications populaires comme WinZip, CamScanner Pro (qui permet de scanner des cartes de visite pour préremplir les fiches de contact), mais également WeChat (qui revendique près de 500 millions d’utilisateurs, toutes plateformes confondues) en version 6.2.5.

Au vu de l’ampleur des dégâts, Apple a été forcé de réagir. Christine Monaghan, porte-parole d’Apple, a assuré que « nous avons retiré les applications de l’App Store que nous savons avoir été conçues avec ce logiciel pirate. Nous sommes en discussion avec les développeurs afin de nous assurer qu'ils utilisent bien la version légitime de Xcode pour recompiler leurs applications ». De leur côté, les éditeurs ont proposé aux utilisateurs de télécharger un correctif.

Pourtant, la menace XcodeGhost plane encore. Dans un billet, les chercheurs de l’expert en sécurité FireEye ont avancé qu’une nouvelle version de XcodeGhost baptisée XcodeGhost S a été développée et peut également toucher la plateforme iOS 9.

Avec iOS 9, Apple a introduit NSAppTransportSecurity afin d’améliorer la sécurité de la connexion serveur client. Par défaut, seules les connexions sécurisées sont autorisées sur iOS 9. C’est à cause de cette limitation que les versions précédentes de XcodeGhost n’arrivaient pas à se connecter au serveur C&C en utilisant HTTP. Cependant, Apple a également permis aux développeurs d’ajouter des exceptions (NSAllowsArbitraryLoads) depuis Info.plist pour autoriser les connexions HTTP. L’échantillon XcodeGhost S qui a été récupéré par les chercheurs lit le paramètre NSAllowsArbitraryLoads au niveau de l’entrée NSAppTransportSecurity dans Info.plist puis choisit des serveurs C&C différents en fonction de ce paramètre.

« Après avoir surveillé les activités liées à XcodeGhost pendant quatre semaines, nous avons remarqué que 210 entreprises avaient des applications infectées par XcodeGhost dans leur réseau, ce qui a généré plus de 28 000 tentatives de connexion avec les serveurs C&C de XcodeGhost », ont expliqué les chercheurs. Ci-dessous, les cinq pays avec lesquels XcodeGhost a tenté une connexion.

En tête figure l’Allemagne avec 62 pour cent des tentatives, suivi par les États-Unis qui ont enregistré 33 pour cent des tentatives. La France vient en troisième position avec 3 pour cent des tentatives, bien loin derrière les deux premiers.

Les chercheurs se sont également intéressés aux types d’industries qui étaient visés par les attaques. Avec plus de la moitié des infections (65 pour cent), c’est principalement le secteur de l’éducation qui a été la cible de ce logiciel malveillant. Le secteur technologique vient en second avec 13 pour cent des attaques.

Ils ont constaté que le trafic C&C de XcodeGhost peut être détourné pour :

• distribuer des applications en dehors de l’App Store ;
  
• forcer l’ouverture d’une l'URL ;
  
• promouvoir énergiquement toute application dans l'App Store en lançant directement la page de téléchargement ;
  
• exécuter des fenêtres de type pop-up pour amorcer une attaque par hameçonnage.

Source : FireEye