Déclencher de fausses notifications pour tenter de récupérer des données, forcer l’ouverture d’adresses URL malveillantes, lire et écrire dans le presse-papiers… Les capacités de XcodeGhost en font un malware plus gênant que les chercheurs en sécurité ne l’avaient estimé à sa découverte la semaine passée.
Tout commence le mercredi 16 septembre. C’est l’agitation sur le réseau social chinois Weibo, où des développeurs iOS révèlent l’existence d’une menace qui serait parvenue à s’infiltrer sur l’App Store* associé à l’iPhone et à l’iPad d’Apple. Les équipes sécurité du groupe chinois Alibaba publient une analyse détaillée du malware et lui donnent le nom de XcodeGhost, pour sa ressemblance avec Xcode, l’environnement de développement utilisé pour concevoir des applications iOS.
Palo Alto Networks prend le relais et constate que le code malveillant est implanté dans un fichier objet Mach-O, lui-même contenu dans certaines versions de l’installeur Xcode. Les versions en question ne sont pas celles proposées au téléchargement sur les serveurs d’Apple. Elles ont été mises à disposition sur un service tiers de stockage en ligne. Le lien a été relayé, ces derniers mois, sur les principaux forums de développeurs en Chine : Douban, Swiftmi, CocoaChiba, OSChina, etc. Toutes les moutures de Xcode sont accessibles de la 6.0 à la 7.0. Y compris les bêtas, explique ITespresso.
Pourquoi certains développeurs ont-ils choisi de passer par ce serveur « non officiel » plutôt que par celui d’Apple ? Pour la rapidité du téléchargement ! Sachant effectivement que l’installeur standard de Xcode pèse pas moins de 3 Go. L’analyse de Palo Alto Networks a révélé pas moins de 6 fichiers ajoutés au code original de Xcode. Dont l’un dans la couche CoreServices, qui regroupe des services systèmes sur lesquels s’appuient la plupart des applications.
Deux classes sont alors infectées : UIWindows (qui gère l’affichage des applications sur l’écran)… et UIDevice, ce qui permet au malware de collecter de nombreuses informations. Non seulement l’heure, le pays et la langue du terminal, mais aussi le type de connexion réseau et le nom de l’application vérolée. Le tout est chiffré et envoyé en HTTP vers au moins trois domaines : https://init.crash-analytics[.]com, https://init.icloud-diagnostics[.]com et https://init.icloud-analysis[.]com.
Avec les tests menés en aval par les éditeurs et d’autres firmes spécialisées en cybersécurité, la liste des applications concernées est vite montée à une quarantaine, dans la banque, la messagerie instantanée, la Bourse ou encore les jeux.
La plupart de ces applications ont un lien avec la Chine : WeChat pour la discussion, Didi Chuxing pour la réservation de taxis et VTC, China Unicom pour tous les clients de l’opérateur, Railway 12306 pour l’achat de billets de train… Mais d’autres sont utilisées à l’international, comme le « numériseur » de cartes de visite CamCard.
Reconnaissant une attaque « sans précédent », Apple a déclaré, ce dimanche, avoir passé en revue son App Store pour éliminer toute trace de XcodeGhost. La multinationale assure travailler avec les développeurs pour qu’ils utilisent « une bonne version de Xcode ».
* Jusqu’alors, 5 malware avaient passé les barrières de l’App Store : LBTM, InstaStock, FindAndCall, Jekyll et FakeTor.
A lire aussi :
Haro sur la sécurité des Mac d’Apple
Les experts de la sécurité se penchent sur la Watch d’Apple
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…