Suivez-nous

iOS

XcodeGhost, le malware était entre la chaise et l’iPhone

Arnaud

Publié le

 

Par

ic-194.jpg

Le bug est entre la chaise et le clavier, encore une fois : une quarantaine d’applications proposées sur l’App Store iOS étaient parasitées par un malware, qui a réussi à passer les étapes de validation de la boutique. Le vecteur d’attaque était une version modifiée de Xcode, proposée depuis plusieurs mois sur des forums chinois fréquentés par les développeurs. Et si vous haussez, à ce stade, un sourcil dubitatif – pourquoi diable aller télécharger sur un obscur forum ce qu’Apple propose gratuitement ? – sachez que c’est supposément pour bénéficier de débits de téléchargements meilleurs que chez Apple. Décidément, oui, le bug est bien entre la chaise et le clavier.

Malware malin pour développeur crétin

C’est Paloalto Networks qui a révélé cette vilaine affaire et a remonté la piste de ce malware malin. Plusieurs versions de Xcode ont ainsi été proposées, depuis près de 6 mois pour les plus anciennes. Ces versions de Xcode (nommées XcodeGhost par les chercheurs) ajoutent des ressources à l’original, qui injectent le malware lorsque le développeur compile son application. il fallait y penser.
[[Les ressources ajoutées sont les suivantes :

  • Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
  • Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework/
  • Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
  • Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework/
  • Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService
  • Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework]]

Dès qu’une application infectée est installée, le malware récupère quelques informations qu’il chiffre et envoie à un serveur.

  • heure
  • application source et identifiant de celle-ci
  • type de d’appareil iOS, et nom de celui-ci
  • Langue et Pays
  • UDID
  • Réseau connecté

Il peut également ouvrir une fenêtre popup, d’apparence légitime, invitant à saisir le mot de passe de son compte Apple, ou lancer certaines pages web. Les circonstances d’apparition de ces deux derniers éléments ne sont pas encore claires.

Le ménage tardif

Parmi les applications concernées, qui pour l’heure n’ont été mises en évidence que sur l’App Store chinois, on trouve certaines applications populaires comme WeChat ou CamCard, ainsi que des applications plus spécifiquement destinées au marché chinois.

Dimanche, Apple confirmait avoir détecté ce malware, et expliquait avoir supprimé les applications concernées. «Le code a été publié par une source non digne de confiance. Pour protéger nos clients, nous avons supprimé de l’App Store les appplications que nous avons avoir été créées avec ces versions modifiées de Xcode», a précisé Christine Monaghan, une porte-parole d’Apple.

iPhone 11 vs 11 Pro : quel est le meilleur iPhone ?
Dernière vidéo Abonnez-vous