Un ver a été découvert dans le jardin d’Eden d’Apple. Une quarantaine d’applications iOS sont en cours de suppression sur l’App Store. En effet, elles ont été infectées par un code malveillant, conçu pour créer un botnet en dehors des appareils Apple.
Le malware XcodeGhost s’est infiltré dans des dizaines d’applications, parmi lesquelles : l’application WeChat (plus de 600 millions d’utilisateurs), l’application NetEase pour télécharger de la musique, le numériseur de cartes professionnelles CamCard et l’application Didi Kuaidi pour réserver des voitures (semblable à Uber). Pire encore, les versions chinoises d’Angry Birds 2 ont été infectées. N’y a-t-il donc plus rien de sacré ?
Apple consacre beaucoup de temps et d’efforts à surveiller chaque application présente dans l’App Store. De tels efforts fournis ont permis à l’App Store de se démarquer de Google Play et du reste des boutiques, qui étaient véritablement pourchasser par les softwares malveillants (du moins jusqu’à ce que Google lance son propre système de recherche de malwares en 2014).
Malgré son expérience, Apple semble traverser un mois de septembre noir. Des experts avaient d’abord découvert un malware dans les appareils jailbreakés, et tout le monde avait parlé du » plus grand vol sur iOS de tous les temps « . Et maintenant, Palo Alto Networks découvre des softwares corrompus sur l’App Store.
XcodeGhost #iOS Malware Contained: https://t.co/pBYDo6wMJI via @threatpost #apple pic.twitter.com/0DHpiHBMy8
— Kaspersky (@kaspersky) September 21, 2015
Définitions : Xcode et XcodeGhost
Xcode est un environnement gratuit d’outils utilisé par les développeurs de softwares afin de créer des applications pour iOS et App Store. Il est officiellement distribué par Apple, et officieusement par plusieurs sites tiers.
XcodeGhost est un software malveillant, conçu pour infecter Xcode et ainsi compromettre les applications créées à partir d’outils corrompus. Ces applications infectées volent les données privées des utilisateurs et les envoient aux hackers.
Infection possible de 40 applications ou plus sur l’ #AppStore #Apple #malware
Tweet
Comment les applications ont-elles été corrompues ?
Le Xcode officiel d’Apple n’est pas concerné, le problème vient des versions non officielles de cet environnement téléchargées sur le service de stockage Cloud de Baidu (l’équivalent chinois de Google). En Chine, le téléchargement d’outils nécessaires depuis des sites tiers est une pratique courante. Cette fois-ci, il s’est avéré que c’était une très mauvaise habitude.
Les développeurs chinois ont une bonne raison de préférer les sites non officiels et non sécurisés, plutôt que les ressources officielles et protégées. Dans leur pays, Internet fonctionne très lentement. En outre, le gouvernement chinois limite l’accès aux serveurs étrangers par trois passerelles. Etant donné que le paquet d’installation d’outils Xcode pèse environ 3,59 GB, il faudrait énormément de temps pour le télécharger depuis les serveurs d’Apple.
https://twitter.com/panzer/status/645823037871292417
Ainsi, celui qui se cache derrière XcodeGhost n’a eu qu’à ajouter un malware intelligent et imperceptible dans un paquet non officiel et à attendre que les développeurs légitimes fassent tout le travail pour lui. Les chercheurs de Palo Alto Networks estiment que le paquet corrompu d’outils Xcode est resté en circulation pendant six mois et qu’il a été utilisé pour développer de nombreuses applications iOS (nouvelles ou mises à jour). Ensuite, ces dernières ont naturellement été mises sur l’App Store, en passant d’une certaine façon à travers le système de recherche de malwares d’Apple.
Avoid submitting your app with a compromised version of Xcode by using the new `verify_xcode` fastlane action pic.twitter.com/732ubbvUmS
— Felix Krause (@KrauseFx) September 21, 2015
Que va-t-il se passer ensuite ?
Récemment, Apple a confirmé à Reuters que toutes les applications corrompues qui avaient été détectées ne sont plus sur l’App Store et que l’entreprise travaille actuellement avec les développeurs pour s’assurer que ces derniers utilisent la version correcte de Xcode.
Apple Asks Developers To Verify Their Version Of Xcode Following Malware Attack On Chinese App Store http://t.co/OtBO21SGX6 by @sarahintampa
— TechCrunch (@TechCrunch) September 22, 2015
Malheureusement, tout ne va pas en rester là. Nous ne savons toujours pas le nombre exact d’applications infectées. D’après Reuters, l’entreprise chinoise de sécurité Qihoo360 Technology Co affirme avoir découvert 344 applications corrompues par XcodeGhost.
Ces incidents marquent peut-être le début d’une nouvelle ère de la cybercriminalité, dans laquelle les développeurs sont aussi menacés que les boutiques non officielles et les utilisateurs lambda. D’autres criminels pourraient reproduire la tactique suivie par le créateur de XcodeGhost, d’autant plus que l’Institut SANS a rapporté que l’auteur de XcodeGhost avait rendu public le code source de son malware sur GitHub et qu’il était maintenant disponible gratuitement.
Par coïncidence, les outils Xcode avaient déjà attiré l’attention des médias plus tôt dans l’année, à l’occasion du » Jamboree « , un rassemblement annuel et secret de chercheurs en sécurité, que sponsorise la CIA.
The CIA has waged a secret campaign to defeat security mechanisms built into Apple devices. http://t.co/a8kN5pHHtu pic.twitter.com/JpkTok0rx6
— The Intercept (@theintercept) March 10, 2015
Au cours du rassemblement, certains chercheurs avaient annoncé qu’ils avaient créé une version modifiée de l’Xcode d’Apple, laquelle pouvait se glisser par des portes dérobées dans toutes les applications développées avec cet outil.