Infection possible de 40 applications sur l’App Store !

24 Sep 2015

Un ver a été découvert dans le jardin d’Eden d’Apple. Une quarantaine d’applications iOS sont en cours de suppression sur l’App Store. En effet, elles ont été infectées par un code malveillant, conçu pour créer un botnet en dehors des appareils Apple.


xcodeghost-featured

Le malware XcodeGhost s’est infiltré dans des dizaines d’applications, parmi lesquelles : l’application WeChat (plus de 600 millions d’utilisateurs), l’application NetEase pour télécharger de la musique, le numériseur de cartes professionnelles CamCard et l’application Didi Kuaidi pour réserver des voitures (semblable à Uber). Pire encore, les versions chinoises d’Angry Birds 2 ont été infectées. N’y a-t-il donc plus rien de sacré ?

Apple consacre beaucoup de temps et d’efforts à surveiller chaque application présente dans l’App Store. De tels efforts fournis ont permis à l’App Store de se démarquer de Google Play et du reste des boutiques, qui étaient véritablement pourchasser par les softwares malveillants (du moins jusqu’à ce que Google lance son propre système de recherche de malwares en 2014).

Malgré son expérience, Apple semble traverser un mois de septembre noir. Des experts avaient d’abord découvert un malware dans les appareils jailbreakés, et tout le monde avait parlé du  » plus grand vol sur iOS de tous les temps « . Et maintenant, Palo Alto Networks découvre des softwares corrompus sur l’App Store.

Définitions : Xcode et XcodeGhost

Xcode est un environnement gratuit d’outils utilisé par les développeurs de softwares afin de créer des applications pour iOS et App Store. Il est officiellement distribué par Apple, et officieusement par plusieurs sites tiers.

XcodeGhost est un software malveillant, conçu pour infecter Xcode et ainsi compromettre les applications créées à partir d’outils corrompus. Ces applications infectées volent les données privées des utilisateurs et les envoient aux hackers.

Comment les applications ont-elles été corrompues ?

Le Xcode officiel d’Apple n’est pas concerné, le problème vient des versions non officielles de cet environnement téléchargées sur le service de stockage Cloud de Baidu (l’équivalent chinois de Google). En Chine, le téléchargement d’outils nécessaires depuis des sites tiers est une pratique courante. Cette fois-ci, il s’est avéré que c’était une très mauvaise habitude.

Les développeurs chinois ont une bonne raison de préférer les sites non officiels et non sécurisés, plutôt que les ressources officielles et protégées. Dans leur pays, Internet fonctionne très lentement. En outre, le gouvernement chinois limite l’accès aux serveurs étrangers par trois passerelles. Etant donné que le paquet d’installation d’outils Xcode pèse environ 3,59 GB, il faudrait énormément de temps pour le télécharger depuis les serveurs d’Apple.

Ainsi, celui qui se cache derrière XcodeGhost n’a eu qu’à ajouter un malware intelligent et imperceptible dans un paquet non officiel et à attendre que les développeurs légitimes fassent tout le travail pour lui. Les chercheurs de Palo Alto Networks estiment que le paquet corrompu d’outils Xcode est resté en circulation pendant six mois et qu’il a été utilisé pour développer de nombreuses applications iOS (nouvelles ou mises à jour). Ensuite, ces dernières ont naturellement été mises sur l’App Store, en passant d’une certaine façon à travers le système de recherche de malwares d’Apple.