XcodeGhost : un malware a infesté l'App Store via un Xcode contrefait !

Par:
fredericmazue

lun, 21/09/2015 - 12:10

Apple vient de faire un gros ménage sur son App Store, rapporte Reuters, en retirant des centaines d'applications parfaitement légitimes, mais pourtant infectées.

Apple a été alertée par plusieurs sociétés de sécurité qui indiquaient avoir détecté la présence massive de malwares sur l'App Store, ce qui est une première.

Comment cela a-t-il pu se produire ? Les pirates ont réussi à faire que des développeurs utilisent un Xcode contrefait pour créer leurs applications. Ces versions frelatées de l'outil de développement auraient été téléchargées depuis un serveur chinois considéré comme plus rapide que ceux de la firme à la pomme.

Ce Xcode contrefait est baptisé XcodeGhost, et bien entendu, il ajoutait à la volée du code customisé aux applications :-)

"Nous avons supprimé de l’App Store les applications que nous savions avoir été créées avec la version détournée de Xcode Et nous travaillons avec les développeurs pour s’assurer qu’ils utilisent une version légale" assure Apple sans indiquer toutefois combien d'applications sont impliquées, ni lesquelles. Sans même dire si des applications populaires sont touchées.

Ce que Apple ne dit pas non plus, c'est ce que doivent faire les possesseurs d'iPhone et d'iPad pour vérifier s'ils sont infectés.  

Le malware aurait des capacités de nuisances limitées et il n'y aurait pas de vol de données effectués par le biais de cette attaque, selon le directeur de la société de sécurité Palo Alto Networks.

Màj du 22 septembre (par ftonic) :

Apple a réagi officiellement auprès des développeurs.

"We recently removed apps from the App Store that were built with a counterfeit version of Xcode which had the potential to cause harm to customers. You should always download Xcode directly from the Mac App Store, or from the Apple Developer website, and leave Gatekeeper enabled on all your systems to protect against tampered software. When you download Xcode from the Mac App Store, OS X automatically checks the code signature for Xcode and validates that it is code signed by Apple. When you download Xcode from the Apple Developer website, the code signature is also automatically checked and validated by default as long as you have not disabled Gatekeeper. 
Whether you downloaded Xcode from Apple or received Xcode from another source, such as a USB or Thunderbolt disk, or over a local network, you can easily verify the integrity of your copy of Xcode."