IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

XcodeGhost : Apple procède à un nettoyage de son App Store

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 495
    Points
    196 495
    Par défaut XcodeGhost : Apple procède à un nettoyage de son App Store
    Apple procède à un nettoyage de son App Store,
    pour se débarrasser des applications affectées par le malware XcodeGhost

    Pour développer des applications sur les plateformes d’Apple Mac OS X et iOS, les développeurs se servent d’outils de développement regroupés au sein de l’environnement de développement Xcode. Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications.

    Aussi, les projets légitimes développés avec cette mouture vont être infectés. Ryan Olson, directeur de la section Threat Intelligence pour le compte de Palto Alto Networks, estime que la version contrefaite de Xcode a été téléchargée depuis un serveur en Chine que les développeurs auraient pu utiliser parce qu’ils permettent un téléchargement plus rapide que s’il était fait depuis des serveurs basés aux USA.

    Les applications développées avec le clone de Xcode vont réussir à contourner les mécanismes de sécurité mis en place par Apple pour pouvoir passer sur sa vitrine de téléchargement. XCodeGhost se connecte d'abord à un centre de commandement et de contrôle (C2C) pour envoyer des informations extraites du téléphone (heure, nom de l'appareil, numéro d’utilisateur UUID - Universal Unique Identifier -, etc.). Par la suite, l’application infectée reçoit des instructions. Elle pourrait par exemple prendre le contrôle de préfixes d'URL spécifiques utilisées par d'autres applications (par exemple l’URL twitter:// qui est censée ouvrir l’application correspondante), lire ou écrire dans le presse-papier, inviter la victime à saisir ses informations d’authentification (nom d’utilisateur, mots de passe) en lançant une boîte de dialogue. Sur ce dernier point, Palto Alto Networks avance que « puisque la boîte de dialogue est lancée depuis une application en exécution, la victime pourrait être en confiance et entrer son mot de passe sans jamais se douter de la supercherie ».

    Suite à ces révélations, Apple a décidé de faire le grand ménage dans son App Store. C’est le premier cas rapporté d’un grand nombre de logiciels malveillants qui ont pu passer à travers les mailles du filet du processus strict d’examen des applications ; Palto Alto Network a avancé qu’avant cette attaque, seules cinq applications malveillantes avaient été trouvées dans l’App Store contre une quarantaine cette fois ci et qui peuvent potentiellement affecter des centaines de millions d’utilisateurs. Parmi les applications infectées par XcodeGhost figurent des applications populaires comme WinZIp, CamScanner Pro (qui permet de scanner des cartes de visite pour pré-remplir les fiches de contact) mais également WeChat (qui compte près de 500 millions d’utilisateurs, toutes plateformes confondues) en version 6.2.5, NetEase (musique en ligne) et Didi Kuaidi (covoiturage).

    Christine Monaghan, porte-parole d’Apple, a assuré que « nous avons retiré les applications de l’App Store que nous savons avoir été conçues avec ce logiciel pirate. Nous sommes en discussion avec les développeurs afin de nous assurer qu'ils utilisent bien la version légitime de Xcode pour recompiler leurs applications ». Elle n’a cependant pas donné la conduite à tenir aux utilisateurs. A ce propos, certains éditeurs comme WeChat, Didi Kuaidi ou NetEase ont pris les devants et ont proposé aux utilisateurs de télécharger un correctif. Ces deux éditeurs ont assuré à leurs utilisateurs qu’une investigation préliminaire n’a montré aucun signe de vol de données.

    Les versions vérolées de Xcode étaient hébergées sur des serveurs de Baidu qui a déjà supprimé les liens de téléchargement.

    source : Reuters, NYT, Palo Alto Networks
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    Novembre 2002
    Messages
    8 964
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2002
    Messages : 8 964
    Points : 28 430
    Points
    28 430
    Par défaut
    Excellent

    je l'évoquais il y a quelques mois dans une discussion Libre vs Propriétaire...voici un bel exemple d'attaque qui compromet tous les développements, Libre ou pas, car c'est directement l'environnement de développement qui est ciblé.

    Finalement pour avoir un logiciel à l'abris des backs doors, il faut non seulement un logiciel libre, mais il doit aussi être développé avec des outils libres, de préférence sur un OS libre....après le matériel de nos jours étant de plus en plus évolué, on peut se demander pourquoi le BIOS tenait dans une poignée d'octets en EEPROM alors que EUFI a besoin d'une partition de 300 Mo et ce que le fabriquant peut bien y mettre
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  3. #3
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    "Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications"

    Ca veut dire quoi "diffusée par la suite auprès des développeurs d’applications", ça ? C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?

    Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.

  4. #4
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    je l'évoquais il y a quelques mois dans une discussion Libre vs Propriétaire...voici un bel exemple d'attaque qui compromet tous les développements, Libre ou pas, car c'est directement l'environnement de développement qui est ciblé.
    Le libre ne garantie pas qu'il n'y a pas de failles.

  5. #5
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    Mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : Mai 2013
    Messages : 2 511
    Points : 10 335
    Points
    10 335
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?
    Non, ils ont dû le mettre en ligne sur un site de téléchargement genre Téléchargez.com ou Clubic, ou dans le même genre (enfin un équivalent chinois).

    Enfin si j'ai bien compris ce qu'il y a d'écrit dans l'article DVP.

  6. #6
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.
    Malheureusement ça arrive très souvent a des logiciel libres aussi. Mozilla n’arrête pas de ce battre contre ça. Notepad++ a eu pas mal de problème. Et il y a peu SourceForge a créé un scandale en fournissant des version pourries de différents projets qu'ils hébergeaient dont Gimp.

  7. #7
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    Novembre 2002
    Messages
    8 964
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2002
    Messages : 8 964
    Points : 28 430
    Points
    28 430
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    "Des hackers ont mis sur pied une version modifiée de cet EDI qui embarquait le malware XcodeGhost et qui a été diffusée par la suite auprès des développeurs d’applications"

    Ca veut dire quoi "diffusée par la suite auprès des développeurs d’applications", ça ? C'est une version qu'on trouvait sur des sites de téléchargement illégaux, non ?

    Voila quelque chose qui n'arrive justement pas avec des logiciels FLOSS.
    si tu compiles un logiciel FLOSS avec un XCode "ghost" tu obtiens une application vérolée selon Apple; si tu la compiles avec le XCode officiel, tu as une application sur laquelle Apple à la main car ils auront décidé de la forme binaire de l'application FLOSS qui peut très bien contenir un backdoor made in Apple. Pour savoir exactement ce que fait l'application FLOSS il faut la compiler sous GCC ou équivalent - compilé par lui-même évidemment
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  8. #8
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par Paul TOTH Voir le message
    si tu compiles un logiciel FLOSS avec un XCode "ghost" tu obtiens une application vérolée selon Apple; si tu la compiles avec le XCode officiel, tu as une application sur laquelle Apple à la main car ils auront décidé de la forme binaire de l'application FLOSS qui peut très bien contenir un backdoor made in Apple. Pour savoir exactement ce que fait l'application FLOSS il faut la compiler sous GCC ou équivalent - compilé par lui-même évidemment
    Le compilateur de base de XCode est CLang qui est libre lui aussi.

  9. #9
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    Mouais... "Les versions en question ne sont pas celles proposées au téléchargement sur les serveurs d’Apple. Elles ont été mises à disposition sur un service tiers de stockage en ligne", ça nous avance toujours pas des masses.

  10. #10
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    Citation Envoyé par Uther Voir le message
    Malheureusement ça arrive très souvent a des logiciel libres aussi. Mozilla n’arrête pas de ce battre contre ça. Notepad++ a eu pas mal de problème. Et il y a peu SourceForge a créé un scandale en fournissant des version pourries de différents projets qu'ils hébergeaient dont Gimp.
    Oui, mais ça ne concerne que les gens qui téléchargent sur un autre site que le site officiel. Et pour un logiciel FLOSS, je me demande vraiment pourquoi quelqu'un fait ça. Ce qui ne veut pas dire que personne ne le fait, je veux bien l'admettre. Mais c'est quand même d'abord un cas de PEBKAC...

  11. #11
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Pour les logiciels propriétaires aussi, ça n'arrive que si on ne télécharge pas sur le site officiel. Et XCode etant téléchargeable gratuitement sur le site d'apple, il y a pas plus de raison de le télécharger sur un site tiers que n'importe quel logiciel libre.

    Oui on peut considérer ça comme un PEBKAC mais c'est de toute façon le cas de 99,9% des problèmes informatiques. On peut avoir plein de raisons qui font que l'on se retrouve à télécharger sur un site non officiel:
    • Le plus souvent c'est la flemme : on tombe sur un lien lors de ses recherches et on télécharge sans réfléchir davantage.
    • Dans le cas présent : la Chine, les connexions vers l’étranger sont souvent mauvaises, donc on préfère souvent télécharger sur des sites locaux même les logiciels gratuits.
    • Certains ont tellement l'habitude de tout télécharger, qu'ils ne se posent même plus la question de si c'est réellement gratuit ou non, il téléchargent sur tout leur site pirate.

  12. #12
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 495
    Points
    196 495
    Par défaut Apple indique aux développeurs comment vérifier l'identité de leurs copies de Xcode
    Apple indique aux développeurs comment vérifier l'identité de leurs copies de Xcode,
    suite aux sévices du malware XcodeGhost

    Après que son portail de téléchargement ait été le siège de nombreuses applications infectées par le malware XcodeGhost, Apple a décidé qu’il serait utile que les développeurs sachent comment vérifier que la version de l’EDI Xcode qu’ils ont installé est d’origine.

    « Nous avons récemment été amenés à retirer des applications de l’App Store qui ont été conçues avec une version contrefaite de Xcode, laquelle pouvait potentiellement causer préjudice aux clients. Vous devriez toujours télécharger Xcode directement depuis le Mac App Store ou depuis le site Apple Developper et laisser activé Gatekeeper sur tous vos systèmes afin de les protéger contre les logiciels trafiqués ».

    Apple rappelle que lorsque vous téléchargez Xcode depuis le Mac App Store, OS X vérifie automatiquement la signature de code de Xcode pour savoir s’il est signé par Apple. La même chose se produit si vous téléchargez Xcode depuis le site Apple dédié aux développeurs aussi longtemps que vous n’aurez pas désactivé Gatekeeper. De toute façon, que vous ayez téléchargé Xcode sur les canaux officiels d’Apple ou que vous l’ayez eu depuis d’autres sources, la vérification de l’intégrité de votre copie de Xcode est aisée.

    Pour vérifier l’identité de la copie de votre EDI, lancez la commande suivante en prenant bien soin de vérifier que Gatekeeper est actif :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    spctl --assess --verbose /Applications/Xcode.app
    Comme vous pouvez le constater sur le chemin, /Applications/ est le fichier dans lequel est installé Xcode. Cette opération peut durer quelques minutes mais voici les résultats que vous devriez obtenir :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    /Applications/Xcode.app: accepted
    source=Mac App Store
    Pour un téléchargement qui a été fait sur le Mac App Store

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    /Applications/Xcode.app: accepted
    source=Apple
    ou

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    /Applications/Xcode.app: accepted
    source=Apple System
    pour un téléchargement qui a été fait sur le site développeur d’Apple.

    « Tout résultat différent de ‘accepted’ ou toute source différente de ‘Mac App Store’, ‘Apple System’ ou ‘Apple’ est le signe que la signature de l’application n’est pas valide pour Xcode. Vous devrez alors télécharger une autre copie de Xcode et recompiler vos applications avant de pouvoir les soumettre pour examen », a indiqué Apple.

    Source : blog développeurs Apple
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  13. #13
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    Novembre 2002
    Messages
    8 964
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2002
    Messages : 8 964
    Points : 28 430
    Points
    28 430
    Par défaut
    Citation Envoyé par Uther Voir le message
    Le compilateur de base de XCode est CLang qui est libre lui aussi.
    celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent. C'est la même différence qu'il y a entre Google Chrome et Chromium.
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  14. #14
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2011
    Messages
    325
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2011
    Messages : 325
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par Paul TOTH Voir le message
    celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent.
    Genre un bidouilleur pourrait pas tout simplement comparer des applications obtenues à l'aide de ces d'un compilateur fourni par Apple et un autre obtenu à partir des sources ? Tu crois qu'il n'existe personne d'assez compétent et/ou curieux pour essayer ça et voir d'éventuelles différences entre les binaires ?
    Ça se verrait très vite !

    De plus ta théorie d'Apple qui trufferait ton code au malware souffre de deux autres problèmes:
    1/ un malware ça communique avec l'extérieur, et il est ultra facile d'intercepter ce qui rentre ou sort d'un ordinateur. Là encore la moindre vilaine bête se verrait à l'analyse la plus basique.
    2/ tu accuses des gens, sans la moindre preuve, et comme tout bon fanatique tu cherches à jouer sur les peurs. Mais ici on est pas sur Yahoo et ton baratin fleurant la diffamation ne prendra pas.

  15. #15
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par Paul TOTH Voir le message
    celui de XCodeGhost aussi...ça change quoi ? étant livré compilé par Apple, ils y mettent ce qu'ils veulent. C'est la même différence qu'il y a entre Google Chrome et Chromium.
    Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
    Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.

  16. #16
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    Novembre 2002
    Messages
    8 964
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2002
    Messages : 8 964
    Points : 28 430
    Points
    28 430
    Par défaut
    Citation Envoyé par Le Vendangeur Masqué Voir le message
    Genre un bidouilleur pourrait pas tout simplement comparer des applications obtenues à l'aide de ces d'un compilateur fourni par Apple et un autre obtenu à partir des sources ? Tu crois qu'il n'existe personne d'assez compétent et/ou curieux pour essayer ça et voir d'éventuelles différences entre les binaires ?
    Ça se verrait très vite !

    De plus ta théorie d'Apple qui trufferait ton code au malware souffre de deux autres problèmes:
    1/ un malware ça communique avec l'extérieur, et il est ultra facile d'intercepter ce qui rentre ou sort d'un ordinateur. Là encore la moindre vilaine bête se verrait à l'analyse la plus basique.
    2/ tu accuses des gens, sans la moindre preuve, et comme tout bon fanatique tu cherches à jouer sur les peurs. Mais ici on est pas sur Yahoo et ton baratin fleurant la diffamation ne prendra pas.
    je n'accuse personne de quoi que ce soit, j'explique simplement un fait, Apple, en verrouillant complètement l'environnement de développement a la possibilité de faire ce qu'il veut.

    Citation Envoyé par Uther Voir le message
    Tout comme les package des distributions Linux sont livrés compilé eux aussi et pourraient tout a fait contenir des espions.
    Dans les deux cas, si on ne fait pas confiance au fournisseur, il faut recompiler soi même et comparer.
    Si je ne m'abuse Gentoo est déployé sous forme de source.

    D'autre part SRWare Iron ou CyanogenMod qui ne font à priori pas confiance à Google, proposent Chromium et Android sans la partie non publique des versions Google.

    je ne connais pas d'équivalent sur iPhone, et même Delphi qui propose le développement OSX et iOS sous Windows a besoin d'un Mac et de l'AppleStore pour développer pour iPhone. C'est une restriction imposée par Apple.
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  17. #17
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 554
    Points
    26 554
    Par défaut XcodeGhost : la liste des applications infectées par le malware s’allonge
    XcodeGhost : la liste des applications infectées par le malware s’allonge
    l’entreprise de sécurité Lookout donne des recommandations

    Faisant suite à la détection du malware XcodeGhost sur la plateforme iOS, Apple a procédé à un nettoyage de son App Store et a donné dans la foulée plusieurs indications aux développeurs afin de vérifier l’identité de leurs copies de Xcode.

    Ainsi en exécutant certaines commandes, il est possible pour chaque développeur de savoir si la version de Xcode utilisée pour compiler son application est authentique ou a subi des modifications non autorisées.

    Le malware ayant été démasqué et les développeurs pouvant effectuer des contrôles pour vérifier l’authenticité de leurs applications, l’heure est maintenant à l’inventaire des dégâts sur la plateforme iOS.

    Dès les premières heures de la découverte de l’infection, les chiffres ne donnaient que cinq applications infectées sur la plateforme d’applications iOS. La firme de sécurité Palo Alto a allongé sa liste à 39 applications au lendemain de l’infection.

    Mais au fil des jours, le nombre d’applications touchées par ce malware n’a cessé de croitre. Aussi, l’entreprise de sécurité Lookout a dressé sa liste personnelle recensant les applications infectées. Dans cette liste, on peut retrouver les applications :

    • Crazy Fishing Saga, Crazy Fish 2, Pop owls, Candy Crazy Fish
    • Sea Diamond, Fishing Ares, Pet Forest-crazy, Multi Attach Mail
    • CamCard Business, CamScanner Free, CamScanner +, CamScanner Pro
    • WeChat, WinZip, OPlayer HD Lite, LifeSmart, 10000+ Wallpapers
    • Magic Likes Liker for Istagram, Maya Mysterious, Device Tracker for iPhone iPad
    • Free Calls Text, Beauty Salon Monster Girls Makeover, Crazy Bubble OL, MyChevy
    • MyChevy, Excavator Stunt 2015, Parking 3D, Little Miss Party Girls, Foscam, Celebrity Fashion Stylist Salon


    Comme le precise Lookout, cette liste n’est pas exhaustive. D’autres sources auraient ajouté les applications suivantes :

    • Mercury, WinZip, Musical.ly, PDFReader, guaji_gangtai
    • Perfect365, PDF Reader Free, WhiteTile, IHexin
    • Winzip Satndard, More Likers 2, Mobile Ticket,
    • iVMS-4500, QYER, golfsense, installer, golfsensehd
    • Wallpapers10000, CSMBP-AppStore, MSL108, ChinaUnicom3.x
    • TinyDeal.com, Snapgrab Copy, iOBD2, PocketScanner, CuteCUT
    • AmHexinForPad, SuperJewelsQuest2, air2, InstaFollower, baba
    • WeLoop, DataMonitor, MSL070, Nice dev, immtdchs, FlappyCircle
    • BiaoQingBao, SaveSnap, Guitar Master, jin, Winzip Sector, Quick Save


    En marge de la liste dressée par Lookout, l’entreprise de sécurité a également apporté des recommandations préventives afin de limiter l’infection le cas échéant.

    Ainsi, si vous avez installé une application parmi celles qui ont été listées ou d’autres reconnues comme malicieuses, Lookout recommande d’effectuer la mise à jour vers la version la plus récente. À défaut de mise à jour disponible, il est demandé de procéder à la suppression de l’application.

    Également, si une application compilée avec XcodeGhost tourne sur votre téléphone, il est recommandé de changer le mot de passe principal Apple ID et d'être très méfiant pour toutes notifications et tous mails suspects demandant vos informations personnelles.

    En outre, Lookout demande d’être très vigilant face aux boites de dialogue des applications demandant des informations personnelles sans pour autant savoir qui est à l'origine de l’affichage de cette boite.

    Enfin, si vous avez utilisé votre mot de passe Apple ID sur d’autres comptes, il est recommandé de changer le mot de passe de ces comptes.

    Source : Lookout

    Et vous ?

    Trouvez-vous la liste d’applications infectées utile ?

    Que pensez-vous de ces recommandations ?


    Voir aussi
    Forum Apple
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  18. #18
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 690
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 690
    Points : 20 211
    Points
    20 211
    Par défaut
    C'est beau tout ces nom d'applications où on colle le maximum de mot clé à la mode. Ça respire la qualité ^^
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  19. #19
    Membre actif
    Homme Profil pro
    Étudiant-chercheur, et ingénieur développement logiciels
    Inscrit en
    Avril 2012
    Messages
    39
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Étudiant-chercheur, et ingénieur développement logiciels

    Informations forums :
    Inscription : Avril 2012
    Messages : 39
    Points : 208
    Points
    208
    Par défaut
    Une question me taraude : comment les développeurs ont fait pour avoir ce malware ?

    Si même les développeurs ne téléchargent plus les logiciels depuis les sites officiels des éditeurs on ne va pas pouvoir s'en sortir…

  20. #20
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 495
    Points
    196 495
    Par défaut De nombreuses entreprises utilisent encore des applications infectées par XcodeGhost
    De nombreuses entreprises utilisent encore des applications infectées par XcodeGhost,
    selon une analyse de FireEye

    En septembre dernier, des hackers ont mis sur pied une version modifiée de l’EDI Xcode qui embarquait le malware XcodeGhost, lequel a été diffusé par la suite auprès des développeurs d’applications Mac OS X et iOS, infectant ainsi les projets légitimes.

    Ryan Olson, directeur de la section Threat Intelligence pour le compte de Palto Alto Networks, avait avancé que la version contrefaite de Xcode a été téléchargée depuis un serveur en Chine que les développeurs auraient pu utiliser parce qu’ils permettent un téléchargement plus rapide que s’il était fait depuis des serveurs basés aux USA.

    De nombreuses applications se sont vues infecter, touchant ainsi des centaines de millions d’utilisateurs. Parmi elles figuraient des applications populaires comme WinZip, CamScanner Pro (qui permet de scanner des cartes de visite pour préremplir les fiches de contact), mais également WeChat (qui revendique près de 500 millions d’utilisateurs, toutes plateformes confondues) en version 6.2.5.

    Au vu de l’ampleur des dégâts, Apple a été forcé de réagir. Christine Monaghan, porte-parole d’Apple, a assuré que « nous avons retiré les applications de l’App Store que nous savons avoir été conçues avec ce logiciel pirate. Nous sommes en discussion avec les développeurs afin de nous assurer qu'ils utilisent bien la version légitime de Xcode pour recompiler leurs applications ». De leur côté, les éditeurs ont proposé aux utilisateurs de télécharger un correctif.

    Pourtant, la menace XcodeGhost plane encore. Dans un billet, les chercheurs de l’expert en sécurité FireEye ont avancé qu’une nouvelle version de XcodeGhost baptisée XcodeGhost S a été développée et peut également toucher la plateforme iOS 9.

    Avec iOS 9, Apple a introduit NSAppTransportSecurity afin d’améliorer la sécurité de la connexion serveur client. Par défaut, seules les connexions sécurisées sont autorisées sur iOS 9. C’est à cause de cette limitation que les versions précédentes de XcodeGhost n’arrivaient pas à se connecter au serveur C&C en utilisant HTTP. Cependant, Apple a également permis aux développeurs d’ajouter des exceptions (NSAllowsArbitraryLoads) depuis Info.plist pour autoriser les connexions HTTP. L’échantillon XcodeGhost S qui a été récupéré par les chercheurs lit le paramètre NSAllowsArbitraryLoads au niveau de l’entrée NSAppTransportSecurity dans Info.plist puis choisit des serveurs C&C différents en fonction de ce paramètre.


    « Après avoir surveillé les activités liées à XcodeGhost pendant quatre semaines, nous avons remarqué que 210 entreprises avaient des applications infectées par XcodeGhost dans leur réseau, ce qui a généré plus de 28 000 tentatives de connexion avec les serveurs C&C de XcodeGhost », ont expliqué les chercheurs. Ci-dessous, les cinq pays avec lesquels XcodeGhost a tenté une connexion.


    En tête figure l’Allemagne avec 62 pour cent des tentatives, suivi par les États-Unis qui ont enregistré 33 pour cent des tentatives. La France vient en troisième position avec 3 pour cent des tentatives, bien loin derrière les deux premiers.

    Les chercheurs se sont également intéressés aux types d’industries qui étaient visés par les attaques. Avec plus de la moitié des infections (65 pour cent), c’est principalement le secteur de l’éducation qui a été la cible de ce logiciel malveillant. Le secteur technologique vient en second avec 13 pour cent des attaques.


    Ils ont constaté que le trafic C&C de XcodeGhost peut être détourné pour :

    • distribuer des applications en dehors de l’App Store ;
    • forcer l’ouverture d’une l'URL ;
    • promouvoir énergiquement toute application dans l'App Store en lançant directement la page de téléchargement ;
    • exécuter des fenêtres de type pop-up pour amorcer une attaque par hameçonnage.



    Source : FireEye
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Apple annonce formellement le bannissement des antivirus de son App Store
    Par Michael Guilloux dans le forum Développement iOS
    Réponses: 23
    Dernier message: 22/09/2017, 14h58
  2. Réponses: 0
    Dernier message: 29/09/2009, 00h54
  3. Réponses: 0
    Dernier message: 29/09/2009, 00h54
  4. Réponses: 18
    Dernier message: 06/08/2009, 14h03
  5. Apple nettoie son App Store et supprime 943 applications
    Par Kerod dans le forum Actualités
    Réponses: 0
    Dernier message: 04/08/2009, 16h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo