XcodeGhost : la contamination était plus grande que prévue, Apple répond aux développeurs

XcodeGhost : la contamination était plus grande que prévue, Apple répond aux développeurs

Plus vite, toujours plus vite

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

23/09/2015 5 minutes
32

XcodeGhost : la contamination était plus grande que prévue, Apple répond aux développeurs

Après les soucis de sécurité engendrés par l’utilisation d’une version frelatée de Xcode, Apple a décidé de communiquer de manière proactive sur l’importance des serveurs authentiques de la firme. L’objectif est bien sûr d’éviter que des compilateurs vérolés ne génèrent des applications mobiles contenant des malwares.

La semaine dernière, Apple faisait face à un danger d’un nouveau type, autant d’ailleurs que les utilisateurs chinois de la plateforme iOS. Des développeurs avaient en effet récupéré l’environnement Xcode depuis des serveurs tiers et non affiliés à Apple. Cette version contenant un compilateur malveillant capable d’introduire un cheval de Troie, nommé XcodeGhost, lors de la compilation du fichier binaire de l’application. Cette dernière, une fois envoyée pour être validée à l’App Store, était détectée comme authentique.

Une infection qui avait commencé au printemps

La situation est déjà rentrée dans l’ordre, mais des éléments récents montrent que l’épidémie était en fait plus large que prévue. Plusieurs sociétés sont depuis entrées dans la danse avec leurs propres informations. Ainsi, des 39 applications dont parlait initialement Palo Alto Network, on passe à 476 chez Appthority, et même à plus de 4 000 chez FireEye. Le ménage réalisé serait donc beaucoup plus important que ce qui avait été annoncé, et l’infection aurait même débuté au printemps.

Les dégâts semblent cependant très limités. XcodeGhost n’avait en effet pas une grande capacité de nuisance. Les informations potentiellement volées incluaient le numéro de téléphone, l’identifiant unique de l’appareil et quelques données assez générales comme la langue et le pays. Pas d'autres données personnelles, messages, contacts, emails, photos, vidéos, identifiants et autres donc.

Apple installera des serveurs de téléchargement en Chine

En fait, la question centrale est de savoir pourquoi les développeurs se sont initialement tournés vers cette version de Xcode. Il s’agit visiblement d’une question de performances. Les développeurs interrogés par Reuters pointent en effet un manque crucial de support en Chine de la part d’Apple, alors même qu’il s’agit de son deuxième plus gros marché après les États-Unis.

Il n’est donc pas étonnant de voir que Phil Schiller, le directeur du marketing, a confirmé l’arrivée de téléchargements locaux en Chine au site chinois Sina.com. Des serveurs seront ainsi mis en place et configurés pour que les développeurs disposent de meilleures vitesses. Actuellement, les développeurs chinois n’ont en effet pas le choix : ils doivent se connecter aux serveurs américains. On comprend mieux dès lors que quelques dizaines d’entre eux aient succombé aux sirènes de sites qui promettaient des téléchargements rapides.

Les développeurs invités à se tourner vers les sources authentiques

Parallèlement, Apple tâche de mieux communiquer autour de ce problème particulièrement. Une page spécifique est apparue sur le site consacré aux développeurs, et des emails leur ont également été envoyés. Le message global est simple : « Nous avons récemment retiré de l’App Store des applications qui avaient été compilées avec une version contrefaite de Xcode, qui avait le potentiel de nuire aux utilisateurs. Vous devriez toujours télécharger Xcode depuis le Mac App Store, ou depuis le site Apple Developer, et laisser GateKeeper actif sur tous vos systèmes pour vous protéger des logiciels trafiqués ».

Signalons que GateKeeper n’est pas à proprement parler un antivirus. Il est chargé de vérifier la signature d’un logiciel que l’on exécute pour la première fois. Par défaut, il n’autorise l’exécution que des logiciels installés depuis le Mac App Store et ceux disposant d’une signature authentique et reconnue. Les produits récupérés depuis les sites officiels et dont les éditeurs ont eu les moyens d’acheter un certificat reconnu n’ont donc pas de problèmes. Dans le cas présent, la vérification de signature aurait donc dû informer le développeur que cette version Xcode n’était pas authentique. Apple donne d’ailleurs certaines lignes de commande pour lancer une vérification manuelle de Xcode si cela n’a pas déjà été fait.

On comprend en tout cas la double inquiétude des utilisateurs et d’Apple. Il ne suffit parfois que d’un rien pour mener à une situation de ce genre, les problèmes de sécurité étant le plus souvent imputables à une maladresse humaine ou à un manque de sérieux. Cisco a par exemple communiqué récemment sur un souci de malware infectant certains modèles de routeurs, une contamination rendue uniquement possible par un « oubli » : remplacer les identifiants par défaut par de nouveaux, personnalisés et construits selon des règles strictes.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une infection qui avait commencé au printemps

Apple installera des serveurs de téléchargement en Chine

Les développeurs invités à se tourner vers les sources authentiques

Commentaires (32)


Si le malware avait été plus vicieux, la validation d’Apple aurait-elle laissé passer les applis sur l’App Store ?



C’est difficile à dire mais si oui, cela veut bien dire qu’il est toujours possible de contourner cette validation, et donc qu’elle ne sert à rien.


C’est déjà ce qu’il s’est passé…


Oui, il serait passer.

Justement leur chance c’est qu’il n’était pas plus virulent.


je me demande comment ils scannent les applis infectées une fois sur le store ? ils cherchent un bout de chaîne ou un fichier paticulier ?<img data-src=" />


La question que je me pose, c’est quelle est la raison d’aller chercher une version de XCode sur une source non officielle alors que le produit est “gratuit”?

&nbsp;Or Xcode / Apple, la plupart des éditeurs fournissent une version gratuite de leur environnement (MS, Embarcadero…) sans parler des environnements open source.

&nbsp;

Récupérer un RAD dans un Warez, c’est tout de même jouer avec la roulette russe. Idem pour les composants, libraries… Le développeur n’a aucune certitude de ce qui va être “linké” avec son propre code.


C’est écrit dans la news

&nbsp;



&nbsp;“Actuellement, les développeurs chinois n’ont en effet pas le choix&nbsp;: ils

doivent se connecter aux serveurs américains. On comprend mieux dès

lors que quelques dizaines d’entre eux aient succombé aux sirènes de

sites qui promettaient des téléchargements rapides.”








ErGo_404 a écrit :



Si le malware avait été plus vicieux, la validation d’Apple aurait-elle laissé passer les applis sur l’App Store ?



C’est difficile à dire mais si oui, cela veut bien dire qu’il est toujours possible de contourner cette validation, et donc qu’elle ne sert à rien.







C’est pas parceque les applis sont passées au travers de la validation, que celle-ci ne sert à rien.

Si ton antivirus laisse passer un virus parmi plusieurs milliers, tu vas dire qu’il ne sert à rien ??



Etrange raisonnement



Est ce que l’on sait comment ils s’en sont aperçu que Xcode était infecté ?


Quand Tim Cook a reçu un appel du Sénégal ou du Nigéria ?

&nbsp;



&nbsp;

&nbsp;<img data-src=" />




Les dégâts semblent cependant très limités. XcodeGhost n’avait en effet pas une grande capacité de nuisance. Les informations potentiellement volées incluaient le numéro de téléphone, l’identifiant unique de l’appareil et quelques données assez générales comme la langue et le pays. Pas d’autres données personnelles, messages, contacts, emails, photos, vidéos, identifiants et autres donc.



Surprenant..

Un coup d’essai avant le véritable cheval de Troie?








ErGo_404 a écrit :



Si le malware avait été plus vicieux, la validation d’Apple aurait-elle laissé passer les applis sur l’App Store ?



C’est difficile à dire mais si oui, cela veut bien dire qu’il est toujours possible de contourner cette validation, et donc qu’elle ne sert à rien.







Ta conclusion (“ne sert à rien”) n’a aucun sens … On vit dans un monde réel et imparfait . Même pour les tests ou produits les plus fiables il y a toujours une marge d’erreur (qui peut donc être exploitée )




#lireLaNewsCestPourLesNoob xD


Applis de multiples auteurs, et codes sources propres.

Du coup, il est possible de savoir que le vers est dans l’un des maillons de la chaine et pas programmé en amont.


Très bon exemple, et oui, je dirais qu’il ne sert à rien. S’il y a un trou quelque part tu es vulnérable. Ca ne veut pas dire qu’il faut l’enlever, la validation comme l’antivirus protègent toujours de pas mal de menaces, mais ça veut dire qu’on ne peut pas lui faire confiance.

En sécurité, des faux positifs ce n’est pas très grave, mais des faux négatifs, si.


Je peux la nuancer un peu, c’était un brin provocateur, c’est vrai. Je visais surtout ceux qui croient encore qu’être sur iOS protège de tous les malwares du simple fait qu’Apple valide ses applications.


Au moins on ne dit pas que c’est un virus comme chez Morandini.&nbsp;<img data-src=" />








ErGo_404 a écrit :



Très bon exemple, et oui, je dirais qu’il ne sert à rien. S’il y a un trou quelque part tu es vulnérable. Ca ne veut pas dire qu’il faut l’enlever, la validation comme l’antivirus protègent toujours de pas mal de menaces, mais ça veut dire qu’on ne peut pas lui faire confiance.

En sécurité, des faux positifs ce n’est pas très grave, mais des faux négatifs, si.







Un faux positif peut avoir de sacrées conséquences… (douane, virements bancaires, sécurité biométrique, …). Moins qu’un faux négatif mais tout de meme….



En même temps, si il demandait vraiment trop de permissions pour les applis compilées, ca aurait fait louche…

&nbsp;

En mettant ca dans le compilo, pour se faire discret, le ver devait n’utiliser que les droits qui auraient été utilisés par l’appli compilée. Il ne pouvait être discret qu’en utilisant des permissions passe-partout.

&nbsp;

Pas mal d’utilisateurs se méfient maintenant d’une lampe de poche qui demandent l’accès aux contacts.

Alors si c’est un développeur qui s’en rendait compte, ca va être encore plus repérable…


tu as oublié le #ComprendreLectureNews complémentaire de celui que tu as donnés <img data-src=" />








ErGo_404 a écrit :



En sécurité, des faux positifs ce n’est pas très grave, mais des faux négatifs, si.







Je pense qu’avoir des faux négatifs en informatique est franchement rare. Le problème c’est surtout qu’on ne peut pas trouver ce qu’on ne cherche pas et c’est malheureusement pourquoi il y aura toujours des menaces qui fonctionneront un temps avant d’être détectées. On peut utiliser les données et l’expérience acquise pour essayer de se prémunir, mais on sait très bien qu’à n’importe quel moment peut surgir quelque chose de nouveau qui n’a pas été anticipé.



Un peu comme dans la vraie vie quoi, si tu as un nouveau virus qui se pointe, il y a des chances pour qu’il y ait des malades avant que tu ais mis au point ce qu’il faut pour le contrer. Mais je suis d’accord, si je fais un examen pour un virus connu et que je ne le trouve pas alors que tu l’as, oui c’est très grave.



Effectivement.



Cependant un cheval de Troie qui récupère aussi peu d’informations j’ai du mal à voir l’utilité.

C’est se donner bien du mal pour pas grand chose au final.<img data-src=" />

Si c’est effectivement pour ne pas se faire repérer, il “suffirait” que les permissions demandées soient “calquées” sur celles de l’application.

Par exemple, si l’application demande la géolocalisation, le vers y aurait aussi accès à son tour. Mais si celle-ci ne le demande pas, alors le vers n’y aurait pas accès (pour ne pas éveiller les soupçons).








ErGo_404 a écrit :



Très bon exemple, et oui, je dirais qu’il ne sert à rien. S’il y a un trou quelque part tu es vulnérable. Ca ne veut pas dire qu’il faut l’enlever, la validation comme l’antivirus protègent toujours de pas mal de menaces, mais ça veut dire qu’on ne peut pas lui faire confiance.

En sécurité, des faux positifs ce n’est pas très grave, mais des faux négatifs, si.





Si, si, un faux positif peut aussi faire de gros dégâts.

Les antivirus se battent d’ailleurs pour avoir le moins de faux positifs possible.



C’est ça que j’appelle un faux négatif, un malware qui n’est pas reconnu comme tel.



La différence notable entre un antivirus classique et la validation Apple, c’est que dans le cas de l’antivirus les équipes de sécurité ne peuvent pas vraiment télécharger tous les exécutables de la planète pour les analyser et trouver les virus. Apple en revanche reçoit chaque app et prend parfois plusieurs semaines avant la validation sur le Store, ce qui devrait leur laisser le temps de faire des analyses complètes.

Je suis d’accord, le risque 0 n’existe pas et n’existera jamais. Tout ce que je dis, c’est que le système de validation d’Apple qui a très bonne réputation n’est pas du tout parfait, mais les gens s’en sont rendu compte en lisant l’article.








ErGo_404 a écrit :



En sécurité, des faux positifs ce n’est pas très grave, mais des faux négatifs, si.





Un faux positif ne serait-ce que sur un seul truc critique, ça peut faire très mal. Et dans les cas extrêmes, eh bien…

Je me souviens d’un antivirus il y a plusieurs années qui à cause d’une mise à jour de signatures foireuse avait mis tout le système en quarantaine, puis s’était mis lui-même en quarantaine avant de mettre la quarantaine en quarantaine et de rebooter. Ô joie.



Ne pas troller … Ne pas troller … Ne pas troller


Avast et ccleaner flinguais le boot de windows7 à un moment! <img data-src=" />








latlanh a écrit :



Avast et ccleaner flinguais le boot de windows7 à un moment! <img data-src=" />





C’est que ce sont deux bons softs : ils detectent parfaitement les malwares <img data-src=" />



Source?? Parce que j’utilise Ccleaner depuis des années et je n’ai jamais eu de boot Win vérolé après l’avoir utilisé!


La source c’est moi! <img data-src=" /> Et avec Avast?


Lol… comique va! Je n’utilise pas Avast donc je ne pourrais dire! <img data-src=" />


Bah donc c’est ce que je dis, c’est le combo avast/Ccleaner qui ma pausé problème ! j’utilise plus Avast, j’utilise toujours Ccleaner et plus de pb! ;)








KloWh a écrit :



Ne pas troller … Ne pas troller … Ne pas troller



Apple…