Accueil » XCodeGhost : Apple supprime des applications iOS vérolées
High-Tech

XCodeGhost : Apple supprime des applications iOS vérolées

Apple a reconnu dimanche que des applications distribuées principalement sur son App Store chinois avaient été compilées à partir d’un environnement XCode vérolé, baptisé XCodeGhost. Les applications infectées opèrent des attaques visant à obtenir des identifiants des utilisateurs.


La technique avait été décrite dans des documents internes de la NSA révélés par Edward Snowden, comme une des possibilités d’attaquer des utilisateurs du système iOS. On ne sait pas si les services américains l’ont effectivement mise en oeuvre, mais visiblement des hackers chinois l’ont mise à profit. Apple a reconnu dimanche qu’il avait commencé à faire le ménage sur son App Store, après que des développeurs ont découvert que la version du kit de développement XCode qu’ils utilisaient était vérolée, et qu’elle infectait les applications compilées et distribuées sur la boutique d’applications de la firme de Cupertino.

Baptisé XCodeGhost, le SDK modifié ajoute subrepticement du code dans des fonctions d’appel de certaines API système sur iOS, pour obtenir l’exécution de code malicieux. Selon le cabinet de sécurité informatique Palo Alto Networks qui a révélé les détails de l’attaque, XCodeGhost se connecte d’abord à un centre de commandement et de contrôle (C2C), pour envoyer des informations comme le nom de l’appareil, le pays, la langue, le numéro d’utilisateur UUID, etc.

Puis l’application infectée reçoit en retour des instructions chiffrées qu’il déchiffre. L’application infectée peut alors se voir ordonner d’afficher de fausses demandes de login et mot de passe (phishing) pour en envoyer une copie vers le C2C, prendre le contrôle de préfixes d’URL spécifiques utilisées par d’autres applications (par exemple des URL itunes:// ou twitter:// censées ouvrir les applications correspondantes), ou lire et écrire dans le presse-papier, ce qui permettrait par exemple de découvrir des mots de passe mémorisés à partir d’applications comme 1Password.

Au moins 39 applications, la plupart chinoises, auraient ainsi été infectées et distribuées sur l’App Store. Selon le New York Times, le cabinet Qihoo affirmerait toutefois en avoir découvert plus de 300. Parmi les applications vérolées figure une ancienne version du service de messagerie WeChat (la version 6.2.5), populaire y compris hors de Chine, tout comme l’est l’application CamCard qui permet de scanner des cartes de visite pour pré-remplir les fiches de contact. Un service chinois concurrent de Uber est également concerné.

Toutes les versions vérolées de Xcode étaient hébergées sur des serveurs du géant chinois Baidu, qui les a supprimées. Elles auraient été utilisées car plus rapides à télécharger qu’à partir des serveurs officiels d’Apple :

Pour le moment, aucune explication n’est fournie sur la faille de sécurité qui a pu permettre d’utiliser un compilateur iOS autre que le Xcode officiel, alors-même que les applications doivent être signées pour être distribuées sur l’App Store. Il semble que les hackers ont trouvé le moyen de modifier le SDK sans porter atteinte à la vérification de l’authenticité de XCode.

Il semble toutefois que XCodeGhost ne fonctionnait que lorsque les développeurs désactivaient certaines fonctionnalités liées à la sécurité, pour s’épargner des messages d’erreur.

Si vous avez trouvé une erreur d’orthographe, veuillez nous en aviser en sélectionnant le mots et en appuyant sur Ctrl+Enter.

A propos de l'auteur

Sébastien Tondelier

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

OuiHeberg - L'Hébergement accessible à tous !

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

18 User(s) Online Join Server
  • BananeM63
  • ScreaX21
  • SLXW
  • Alan Miller
  • <\Nathan/>
  • Tsubasa
  • 𝕂𝕝𝕖𝕣𝕧𝕚 𝕊𝕖𝕧𝕖𝕟
  • Dungi
  • Marlon29

Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 951 autres abonnés.

2 - Entrer votre adresse email :

Tester votre débit

Acheter moins cher avec i-Comparateur

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :