Applications infectées dans l’App Store

Les experts en sécurité de l’information et la presse sonnent une fois de plus l’alarme : des individus malintentionnés ont réussi à introduire un malware dans l’App Store d’Apple. Pour l’instant, ce sont près de 40 applications contenant du code malveillant qui ont été découvertes sur l’App Store. Les chercheurs d’Alibaba l’ont baptisé XcodeGhost. D’après The New York Times, Apple a confirmé que les auteurs du virus avec copié son outil d’environnement de développement intégré Xcode et l’avaient modifié. Cette version malveillante avait été ensuite chargée sur le service d’échange de fichiers dans le nuage Baidu qui est utilisé par des développeurs chinois de produits pour iOS et OS X.

Les applications iOS infectées disponibles sur l’App Store sont principalement des applications très utilisées en Chine, même si certaines sont utilisées dans le monde entier comme le client de messagerie instantannée WeChat qui compte près de 500 millions d’utilisateurs ou le scanneur de cartes de visite CamCard. Réagissant à l’incident, Christine Monaghan, une représentante d’Apple, a signalé que la fausse version de Xcode « avait été diffusée par des sources douteuses ». « Afin de protéger nos clients, nous avons supprimé de l’App Store tous les applications qui ont été créées selon nos informations par le faux logiciel » a déclaré la représentante d’Apple.

Une analyse réalisée à Palo Alto Networks a confirmé que le coupable est le fichier malveillant Mach-O qui a été introduit dans certaines versions du téléchargeur de Xcode. Il faut noter que les attaquants ne s’en sont pas pris au logiciel d’Apple dans ce cas-ci. Ils ont simplement exploité le fait que les développeurs chinois préfèrent utiliser des copies de Xcode stockées sur des serveurs locaux car le téléchargement est plus rapide. La fausse version n’aura pu être téléchargée que par les développeurs qui ont désactivé la protection offerte par Apple : celle-ci aurait affiché une notification sur le code suspect.

Le malware iOS en lui-même possède une fonction principale : la collecte d’informations sur l’appareil infecté et l’envoi de celles-ci au centre de commande. De plus, sur instruction du centre de commande, il est capable d’afficher une boîte de dialogue de phishing, de substituer l’adresse Internet ouverte, voire de lire et d’enregistrer les données du presse-papiers. Les chercheurs n’ont pas manqué d’indiquer que les attaques XcodeGhost concernent uniquement les versions les plus récentes des applications iOS qui auraient pu être créées à l’aide de la fausse version de Xcode.

Le nombre d’utilisateurs qui auraient pu télécharger des applications inconnues n’a toujours pas été défini. Baidu a supprimé les copies malveillantes de Xcode après avoir été prévenu par Apple. Tencent a également signalé que le problème dans WeChat avait été éliminé. Les premières vérifications semblent indiquer qu’il n’y a eu aucun vol ou fuite de données, mais les adeptes de WeChat sont invités à installer la version 6.2.6 ou suivante. De nombreux serveurs utilisés par les individus malintentionnés pour stocker les données volées ont été identifiés et bloqués. A l’heure actuelle, les experts en sécurité de l’information d’Apple, d’Alibaba et de Palo Alto ainsi que les développeurs d’applications tentent d’estimer l’ampleur des dommages potentiels.

Source: The New York Times

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *