XcodeGhost : Apple se rapproche des développeurs en Chine

Apple prend des mesures pour éviter un deuxième épisode XcodeGhost.

La firme va « améliorer l’accessibilité » de son environnement de développement Xcode, qui permet de concevoir des logiciels pour le système d’exploitation iOS.

En première ligne, la Chine, épicentre du phénomène XcodeGhost, du nom de ce malware révélé au grand jour il y a tout juste une semaine.

Plus gênante que ne l’avaient laissé supposer les premières analyses, la menace s’est glissée indirectement sur l’App Store associé à l’iPhone et à l’iPad. Le code malveillant est en fait implanté dans un fichier objet Mach-O, lui-même contenu dans certaines versions de l’installeur Xcode.

Les versions en question – de la 6.0 à la 7.0, y compris les bêtas – ne sont pas celles proposées au téléchargement sur les serveurs d’Apple. Elles ont été mises à disposition sur un service tiers de stockage en ligne et le lien a été relayé, ces derniers mois, sur les principaux forums de développeurs en Chine.

Ces derniers ont préféré passer par ce serveur « non officiel », car le téléchargement était beaucoup plus rapide que via le site Apple (l’installeur standard pèse pas moins de 3 Go). Problème : ils ont récupéré une mouture vérolée de Xcode, avec a minima 6 fichiers modifiés par rapport au code original. Suffisamment en tout cas pour que les applications créées avec cet outil deviennent de véritables vecteurs d’espionnage électronique.

Pour que les développeurs chinois n’aillent plus voir ailleurs si l’herbe est plus verte, Apple va mettre en oeuvre un serveur de téléchargement dédié, comme l’a expliqué Phil Schiller à la presse sur place.

Le directeur marketing d’Apple a précisé qu’une liste de 25 applications « populaires » identifiées comme infectées serait établie, afin que les utilisateurs puissent procéder à une suppression, puis à une réinstallation.

Apple assure ne pas avoir connaissance d’un quelconque cas d’exploitation de l’une des apps malveillantes pour voler des données. La multinationale reconnaît toutefois une attaque « sans précédent » : environ 300 applications auraient été touchées par XcodeGhost.

La plupart de ces applications sont utilisées essentiellement en Chine : WeChat pour la discussion instantanée, Didi Chuxing pour la réservation de taxis et VTC, Railway 12306 pour l’achat de billets de train, China Unicom pour tous les clients de l’opérateur…

La CIA est soupçonnée d’être impliquée, plus particulièrement au regard de cette réunion dont The Intercept s’était fait l’écho en mars 2015. Des chercheurs avaient présenté une version modifiée de Xcode capable d’ajouter des portes dérobées dans toute application iOS. Son fonctionnement était… très proche de XcodeGhost.

Crédit photo : Anton Balazh – Shutterstock.com