Pour gérer vos consentements :

Le malware XcodeGhost gangrène l’App Store d’Apple

Déclencher de fausses notifications pour tenter de récupérer des données, forcer l’ouverture d’adresses URL malveillantes, lire et écrire dans le presse-papiers… Les capacités de XcodeGhost en font un malware plus gênant que les chercheurs en sécurité ne l’avaient estimé à sa découverte la semaine passée.

Tout commence le mercredi 16 septembre. C’est l’agitation sur le réseau social chinois Weibo, où des développeurs iOS révèlent l’existence d’une menace qui serait parvenue à s’infiltrer sur l’App Store* associé à l’iPhone et à l’iPad d’Apple. Les équipes sécurité du groupe chinois Alibaba publient une analyse détaillée du malware et lui donnent le nom de XcodeGhost, pour sa ressemblance avec Xcode, l’environnement de développement utilisé pour concevoir des applications iOS.

Palo Alto Networks prend le relais et constate que le code malveillant est implanté dans un fichier objet Mach-O, lui-même contenu dans certaines versions de l’installeur Xcode. Les versions en question ne sont pas celles proposées au téléchargement sur les serveurs d’Apple. Elles ont été mises à disposition sur un service tiers de stockage en ligne. Le lien a été relayé, ces derniers mois, sur les principaux forums de développeurs en Chine : Douban, Swiftmi, CocoaChiba, OSChina, etc. Toutes les moutures de Xcode sont accessibles de la 6.0 à la 7.0. Y compris les bêtas, explique ITespresso.

Un malware au cœur des applications

Pourquoi certains développeurs ont-ils choisi de passer par ce serveur « non officiel » plutôt que par celui d’Apple ? Pour la rapidité du téléchargement ! Sachant effectivement que l’installeur standard de Xcode pèse pas moins de 3 Go. L’analyse de Palo Alto Networks a révélé pas moins de 6 fichiers ajoutés au code original de Xcode. Dont l’un dans la couche CoreServices, qui regroupe des services systèmes sur lesquels s’appuient la plupart des applications.

Deux classes sont alors infectées : UIWindows (qui gère l’affichage des applications sur l’écran)… et UIDevice, ce qui permet au malware de collecter de nombreuses informations. Non seulement l’heure, le pays et la langue du terminal, mais aussi le type de connexion réseau et le nom de l’application vérolée. Le tout est chiffré et envoyé en HTTP vers au moins trois domaines : https://init.crash-analytics[.]com, https://init.icloud-diagnostics[.]com et https://init.icloud-analysis[.]com.

Apple lance un grand nettoyage sur son App Store

Avec les tests menés en aval par les éditeurs et d’autres firmes spécialisées en cybersécurité, la liste des applications concernées est vite montée à une quarantaine, dans la banque, la messagerie instantanée, la Bourse ou encore les jeux.

La plupart de ces applications ont un lien avec la Chine : WeChat pour la discussion, Didi Chuxing pour la réservation de taxis et VTC, China Unicom pour tous les clients de l’opérateur, Railway 12306 pour l’achat de billets de train… Mais d’autres sont utilisées à l’international, comme le « numériseur » de cartes de visite CamCard.

Reconnaissant une attaque « sans précédent », Apple a déclaré, ce dimanche, avoir passé en revue son App Store pour éliminer toute trace de XcodeGhost. La multinationale assure travailler avec les développeurs pour qu’ils utilisent « une bonne version de Xcode ».

* Jusqu’alors, 5 malware avaient passé les barrières de l’App Store : LBTM, InstaStock, FindAndCall, Jekyll et FakeTor.

A lire aussi :

Haro sur la sécurité des Mac d’Apple

Les experts de la sécurité se penchent sur la Watch d’Apple

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago