Une version contrefaite de l’environnement de développement Xcode d’Apple a permis la compilation d’applications contenant un cheval de Troie. La situation s’est surtout produite en Chine et Apple a depuis fait le ménage. Le cas rappelle cependant qu’aucune plateforme n’est à l’abri d’un souci de sécurité.
Les différentes boutiques servent de portail pour récupérer des applications depuis les appareils mobiles. Parmi leurs prérogatives, il faut noter que des processus de sécurité doivent empêcher les utilisateurs de récupérer des versions vérolées ou plus globalement des créations dont le seul objectif est de dérober des données personnelles ou conduire à des arnaques. Voilà pourquoi il est souvent conseillé aux utilisateurs d’Android de faire attention quand ils téléchargent depuis des boutiques tierces, une opération permise sur cette plateforme (après modification des paramètres).
Un Xcode contenant un compilateur malveillant
Cela n’empêche pas pour autant des systèmes plus stricts d’être eux aussi victimes de soucis de sécurité. On a pu le voir ces derniers jours avec XcodeGhost, nom donné à un cheval de Troie retrouvé dans certaines applications iOS. Mais comment une telle menace a-t-elle pu passer les sas de validation d’Apple vers l’App Store ? Parce que les applications vérolées avaient tous les airs de projets authentiques.
Ces applications ont en fait été compilées à l’aide d’une version non authentique de Xcode, l’environnement de développement proposé par Apple pour les projets ciblant toutes ses plateformes. Comment les développeurs ont récupéré initialement cette version contaminée, le mystère demeure, mais la société de sécurité Palo Alto Network a pu en mesurer les résultats (le site rencontre actuellement de grosses difficultés), puisque 39 applications sont ainsi passées à la moulinette d’un compilateur malveillant, injectant un cheval de Troie au passage.
Apple a fait le ménage
Présentées pour validation à l’App Store, ces applications se sont bien retrouvées pendant quelques jours sur la boutique d’application. Apple a officiellement reconnu le problème dans une réponse donnée à Reuters, via la porte-parole Christine Monaghan : « Nous avons supprimé les applications de l’App Store dont nous savons qu’elles ont été développées avec le logiciel contrefait. Nous travaillons avec les développeurs pour nous assurer qu’ils utilisent la version normale de Xcode afin qu’ils revoient leurs applications ».
Parmi ces applications, on retrouve le client de messagerie WeChat, dont l’éditeur a réagi pour indiquer que la version sortie il y a deux jours était débarrassée du problème. Le scanner de cartes CamCard était également touché par le souci, mais a depuis rectifié le tir. Pour les autres, elles ont de toute façon été supprimées de l’App Store. Elles avaient toutes le potentiel de voler des informations tels que l’identifiant du téléphone et certaines informations plus générales, pour les envoyer vers un serveur. Selon Palo Alto Network cependant, il semble qu’il n’y ait pas eu de transmissions.
La société estime que ce type de menace est particulièrement sérieux. Concernant le téléchargement initial du Xcode frelaté, elle avance l’hypothèse que des développeurs ont cherché à récupérer plus rapidement l’environnement, sans passer par des serveurs d’Apple peut-être jugés trop lents. On imagine que l’aventure leur aura ôté le goût des chemins alternatifs.
Commentaires (52)
#1
Pas bête quand même, pourrir le compilateur pour embarquer le malware à l’insu du plein gré des développeurs, des utilisateurs et même d’Apple. Chapeau.
#2
En effet, c’est plutôt rusé. Allez savoir si une telle situation ne s’est pas déjà produite sur PC…
#3
Pas besoin de ça sur PC haha
Les utilisateurs se chargent tout seuls d’aller trouver les logiciels vérolés :)
Mais sinon, pourquoi parler de PC dans une news sur iOs? Serait limite plus judicieux de comparer à Windows Phone :)
#4
#5
#6
#7
#8
c’est ballot
" />
#9
Vrai
" />
#10
#11
Je vous invites à mettre à jour cet article.
Il semble que ce ne soit pas que des application chinoise qui soient impactées.
Angry Birds 2 est de la partie et tant que tous les éditeurs n’auront pas contrôlé leurs applis le sujet est loin d’êtres clos.
http://uk.businessinsider.com/apps-by-attack-on-apple-app-store-2015-9
#12
Le malware initial est dans l’environement de développement, donc pas sur téléphone.
#13
#14
Oui tout a fait mais moi je suis sous Gentoo
# emerge -e @system @world après avoir mis à jour GCC et voilà \o/
#15
hâte de voir comment les gens vont réagir !
#16
il faut noter que des processus de sécurité doivent empêcher les utilisateurs de récupérer des versions vérolées ou plus globalement des créations dont le seul objectif est de dérober des données personnelles ou conduire à des arnaques.
C’est pourtant bien le principal objectif de tout un tas d’application qui sont sur les stores.
Après, a voir si l’on considère la plupart des F2P et autres joyeusetés comme une arnaque..
#17
#18
Justement, non, car :
Je ne connaissais pas mais c’est exactement ce que Seazor rapporte :
#19
emerge ne compile rien par lui même donc bon.
" />
Ensuite tu peux aussi récupérer des paquets au format binaire, donc qui aurait été compilé de façon sûr (un ancien gcc, icc ou autres solutions).
Et puis bon, ici on a un compilateur modifié dans des dsitributions “pirates”… si la contamination est directement chez l’éditeur ca peut faire mal c’est clair…
#20
#21
oui enfin Apple à la capacité de faire “disparaitre” les soucis plus rapidement qu’une autre entreprise c’est cela que je veux voir ^^
#22
Google a aussi les moyens de faire le ménage dans son market, et ne se gène pas pour le faire ….. ils ont un bouncerqu’ils améliorent régulièrement pour faire le ménage dans les applications sur le market, je ne vois pas d’où tu sors que Microsoft et Google ne le ferais pas …
#23
La compilation ne devrait-elle pas être un processus déterministe qu’on puisse contrôler ?
" />
Certains travaillent dans ce sens.
#24
#25
#26
#27
#28
#29
Oui oui oui très bien, mais je ne vois toujours pas le rapport ^^
" />
Et encore moins avec la convergence des plateformes à vrai dire. Mais on va dire que c’est lundi, j’ai du mal
#30
#31
#32
#33
#34
#35
Nous sommes d’accord, ce qui intéresse les auteurs du malware, ce sont bien les téléphones.
Mais le point de passage par la station de dev. permet éventuellement les comparaisons avec le monde Windows.
#36
Sur PC, le même cas s’était posé avec le compilateur de Borland :
http://security.bkav.com/home/-/blogs/new-virus-spreads-by-attacking-borland-com…
 http://www.networkworld.com/article/2247375/security/new-virus-spreads-by-attack…
#37
euuuh sous Windows phone, tu es obligé de passer par le market de microsoft ( j’aimerais bienque ca soit différent, mais c’est bien le cas…)
#38
#39
Oo on peut pas installer d’appli custom? enfin un bete .exe?
#40
pas sous windows phone, Windows 10 pour PC n’a pas cette limitation…
Windows 10 pour téléphone si
#41
Si je ne me trompe pas ( et je ne suis pas un spécialiste des WP) , il y a des moyens , mais uniquement des applications signé store, ou à être développeur (et à ce moment, ce n’est pas vraiment différent des iphones…)
#42
Selon Ars Technica, les développeurs concernés se sont fait berner en téléchargeant XCode depuis des liens dans des forums de développeurs. Cela touche essentiellement la Chine, et il était semble-t-il plus rapide pour eux de télécharger la version contrefaite de XCode que celle de l’AppStore Mac.
#43
Ah, je n’avais pas suivi l’idée de la convergence des applis chez Apple, j’avais même compris le contraire ! (Qu’ils ne voulaient surtout pas qu’OSX deviennent un iOS et inversement)
Après il faudrait que les accès et le fonctionnement des OS (Mobiles et desktop) soient réellement les mêmes, ainsi que la gestion des droits (en imaginant que WP et W10 soient maintenant plus que proches, ça semble plausible…)
Sinon, personne n’a parlé de porter les applis Android sur linux ? Haha
#44
Pas facilement justement. C’est d’ailleurs pour ça que iOS et Android sont tombés assez facilement lors de hackathon tandis que WP personne ne l’a encore fait.
#45
Bon Rovio a clarifié le truc, pour Angry Birds 2 c’est que pour les clients des stores asiatiques
https://support.rovio.com/hc/en-us/articles/210094088
#46
astucieux et diabolique à la fois tout un programme
#47
“On imagine que l’aventure leur aura ôté le goût des chemins alternatifs.”
Nawak
Pas parcequ on a eu du caca au bout de la mite qu on aime plus la sodo :/
J adore ces news Apple ou tout problème est ultra minimise (tout va bien Apple contrôle vos idées et une bonne partie de la vie de vos enfants) et toute amélioration en retard sur la concurence est encensée.
Faudrait voir à redéfinir le terme “INdependant”.
#48
Bonne lecture : des bidouilleurs ont effectivement réussi à faire tourner des applis Android sur Linux (Chrome plus exactement) :
https://www.maketecheasier.com/running-android-apps-on-linux/
Et n’oublions pas Microsoft qui propose leur bridge pour recompiler des applis iOS/Android sur Windows ;)
#49
#50
Attention : Microsoft offre de recompiler des applis iOs… Mais d’installer des applications natives Android grâce à une VM Android qui tourne en fond (A la manière BBerry si je ne dis pas d’ânerie)
" />
> Testé sur mon Lumia de balancer quelques applis Android natives via les apk récupérés du Google Play… Ca fonctionne diablement bien. (… Sauf quand il s’agit d’utiliser les services Gogoles :) )
#51
heu tu troll ou pas??? je ne sais pas trop la…
" />
jusqu’à maintenant j’utilise régulièrement ces sites…
#52