XcodeGhost : Angry Birds 2 et oPlayer parmi les applications infectées [màj]

Mickaël Bazoge |

Les applications infectées par XcodeGhost, ce cheval de Troie qui s’incruste discrètement dans le logiciel via une version vérolée de Xcode, ne sont pas toutes connues. Palo Alto Networks, qui a mis la main sur ce malware ingénieux, propose une première liste d’apps infectées et surprise, il y a de sérieux clients (via).

Rovio a récemment fêté les 50 millions de téléchargements d’Angry Birds 2 — Cliquer pour agrandir

On savait déjà que le logiciel de messagerie instantanée WeChat avait été touché, mais c’est aussi le cas pour Angry Birds 2, qui a été téléchargé à 30 millions de copies en Chine, le lecteur multimédia oPlayer, ou encore d’autres applications très populaires dans l’empire du milieu comme Railway 12306 (achat de billets de train), China Unicom Mobile Office (l’app de l’opérateur mobile), ou CamCard (cartes de visite). La société de sécurité informatique Qihoo360 en avait repéré 344, et il y en a sans doute plus encore.

Apple a indiqué ce matin que les apps infectées avaient été supprimés de l’App Store, et que le constructeur travaillait avec les éditeurs touchés afin de leur permettre de soumettre à nouveau leurs logiciels… mais en version « propre » (lire : XcodeGhost : Apple supprime les applications infectées). En ce qui concerne Angry Birds 2 et oPlayer, ces deux applications sont toujours disponibles sur la boutique mobile, sans qu’on sache si elles ont été mises à jour ou pas.

Mise à jour — Rovio a fini par communiquer sur le sujet. L'éditeur explique que seule la version d'Angry Birds 2 distribuée sur les App Store chinois, taïwanais, de Macau et de Hong-Kong (ce qui représente déjà beaucoup de monde) est infectée. Rovio indique qu'un correctif arrivera très bientôt, sans conseiller de supprimer l'application. Dans le reste du monde, le jeu est sans danger et on peut le conserver sur son iPhone, iPod touch ou iPad.


avatar Eaglelouk | 

J'aimerai comprendre comme une grosse boîte peut-elle aller télécharger une version d'Xcode ailleurs que sur le site d'Apple ou l'App Store ?? Ou alors j'ai raté quelque chose concernant ce XcodeGhost

avatar C1rc3@0rc | 

Plusieurs explications possibles:

-L'internet chinois etant filtré par les autorités, il y a des sites qui sont tres lents, ce qui semble etre le cas pour charger XCode sur le site original d'Apple

- nombre de developpeurs chinois ne payent pas de comptes developpeurs Apple et poussent le crime a charger XCode en dehors du site d'Apple.

-les developpeurs programment avec la version d'XCode installée sur les machines de leurs employeurs, et ceux-ci ont chargé sciemment ou pas le XCode vérolé

-les agences de renseignement chinoises sont derrière ce patacaisse, et la fonction permettant d'installer un trojan pour espionner a ete trouvé et exploité par des hackers.

...
Il fautdonc evoquer l'hypothese que ce XCode verolé ne soit pas le fait de quelques hacker malapris, mais une arme servant a inserer du code malicieux a la source et permettant de contourner les securites des App store.
Cette hypothese avaient ete evoqué par Snowden, mais lui l'attribuait aux services US. Les chinois (agences de renseignement ou hacker) ont peut etre bien lu Snowden et trouvé une porte derobée a exploiter...

Dans tous les cas on est face a une demonstration du probleme de la sous-traitance du code en Chine (ou en Inde). Ca permet de sous-payer les developpeurs en Europe et en Amerique, mais le risque d'avoir du code verolé augmente.

Bon reste qu'Apple peut effacer a distance les App sur les appareils iOS.

avatar Eaglelouk | 

C'est pour ça que j'ai parlé de "grosses boites" comme Rovio… où là y'a aucune excuse (et c'est pas basé en Chine que je sache…??)

Attention à l'orthographe de Xcode, y'a pas de C majuscule, ça fait grincer les dents quand on voit ça :p :p

avatar C1rc3@0rc | 

Et pourtant je l'utilise tous les jours, mais les fautes de frappes sont ce qu'elles sont, desole.

Au sujet de Rovio, il va vraiment falloir qu'ils s'expliquent, parce qu'annoncer que seules les app distribuées en Chine sont infectées, c'est illogique.

Ou alors Rovio produit des versions specifiques pour le marché chinois, et la il va falloir qu'ils expliquent quelles sont ses specificités, c'est clairement pas les traductions chinoises - qui restent en ressource et n'impliquent pas de compilation spécifique-!

Donc a moins d'avoir des systemes de flicages imposés par le gouvernement chinois ou au contraire de devoir supprimer des systemes de collecte de données qui ne sont pas acceptés en Chine, je vois pas de justification!

avatar Hideyasu | 

@C1rc3@0rc :
Une boîte comme Rovio peut attendre quelques heures en plus pour télécharger Xcode non ? ...

avatar bonnepoire | 

Ils doivent même avoir des proxy.

avatar C1rc3@0rc | 

Rovio, oui, mais ses sous-traitants chinois c'est moins evident.
D'autant que la version 7 de Xcode apporte des changements majeurs et que sa disponibilité est toute récente...

avatar Rikly | 

@Eaglelouk

Vous avez entièrement raison !

avatar RyDroid | 

C'est peut être un coup de la CIA. https://theintercept.com/2015/03/10/ispy-cia-campaign-steal-apples-secrets/
Ce qui montre une fois de plus l'importance des builds reproduisibles. https://wiki.debian.org/ReproducibleBuilds/About

avatar Oracle | 

Est-il confirmé que cela ne concerne pas d'applications distribuées en France ?

avatar C1rc3@0rc | 

Rien n'est certain.

Si une application a ete en partie ou en totalité sous traitée en Chine, alors son code peut etre infecté.

On est en fait dans le pire scenario imaginable: une application officielle, signée, programmée avec Xcode, se retrouve avec une faille et un malware. Et cela a l'insu de l'editeur et certainement des développeurs occidentaux.

Il faut rappeler que ce Xcode vérolé ajoute le malware a la compilation, donc a moins de faire du reverse engineering, il est impossible a vérifier avant que le comportement apparaisse. C'est aussi comme ça que les soft sont passés sur les App Store.

Avec le niveau de criptage qui augmente (enfin) avec iOS, il va etre aussi plus difficile de savoir ce qui sort de l'appareil, et on sait qu'Apple n’évalue que très succinctement le trafic réseau dans la procédure de certification.

Donc méfiance.

avatar nifex | 

Pour angry birds ce n'est que la version distribuée en chine qui est touché ? Du coup je n'ai pas compris si je dois me faire du soucis ou pas

avatar yoyo3d | 

C est pas très clair tout ça.

avatar ecosmeri | 

Supprimé pour moi

avatar Rikly | 

Pour moi aussi. Suppression de toutes les versions.

avatar Lestat1886 | 

@Rikly :
Pareil...

avatar Appletech | 

Supprimé toutes les versions de Angry Birds

avatar Giloup92 | 

@Appletech :
Je présume que le Game Center conserve tous les scores.

avatar Mickaël Bazoge | 
On n'a pas d'infos supplémentaires pour le moment… Dans le doute, mieux vaut supprimer les applications infectées.
avatar nifex | 

Ok merci ! Effectivement c'est préférable. J'ai supprimé toutes les apps de Rovio. En espérant en savoir bientôt plus sur ce problème qui pourrait finir pas être très grave...

avatar CNNN | 

Faut vraiment être débile, en tant que développeur, de télécharger Xcode en-dehors de chez Apple.

avatar Sostène Cambrut | 

Nan mais au bout d'un moment faut arrêter de prendre les gens pour des abrutis, Angry Birds était déjà vérolé avec un mouchard (dont j'ai oublié le nom, mais c'était un gros truc très répandu)

avatar Lestat1886 | 

Je viens de laisser a rovio un commentaire assassin sur leur page Appstore de AB2! J'invite tout le monde a faire pareil et a les boycotter, eux et tous les autres developpeurs dans ce cas.

Ils creent un des jeux les plus connus de l'appstore et ils osent faire appel a un logiciel piraté. Inadmissible...

avatar Giloup92 | 

@Lestat1886 :
Bonne idée. Je vais faire pareil. Ça les poussera à sortir une nouvelle version propre pour "effacer" les commentaires.

avatar pfx | 

Comment un éditeur comme Rovio, peut utiliser une version De Xcode quine vient pas de l'appstore??

avatar C1rc3@0rc | 

Sous traitance pour payer moins cher (et eviter d'embaucher) des developpeurs sur site.

avatar bompi | 

a) on voit que les gensses ne sont toujours pas très futés... Être un développeur, que ce soit tout seul ou dans une grosse boîte, et télécharger n'importe où son outil de développement, c'est de la plus haute débilité. Non seulement il faut mettre leurs applis à la benne mais ne jamais les re-télécharger, même nettoyées.

b) on voit aussi que, malgré tout ce qu'Apple veut faire croire, son analyse des applications est assez médiocre, pour laisser passer ça. Et que l'on n'a donc pas une grande sécurité sur iOS [et rien ne nous dit que d'autres types de mouchards, par des gens d'un autre genre ne circulent pas aussi...]
Chacun ses priorités : plutôt que de vérifier s'il y a un quart de fesse ou de sein dans les applications, je préfèrerais qu'ils fassent un meilleur contrôle de sécurité.

(mais j'admets bien volontiers que ce n'est pas simple).

avatar marsu94000 | 

Toutes les versions sont touchées ou juste les versions chinoises ?

avatar KrummenHacker | 

L'article "http://uk.businessinsider.com/apps-by-attack-on-apple-app-store-2015-9" mentionne AngryBirds 2, mais l'article original
"http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/" ne contient pas AngryBirds 2 dans sa liste.
Alors, les oiseaux fâchés sont-ils contaminés ou non? Personnellement, ça me paraît peu plausible.
Et puis, il faut toujours vérifier l'info avant de la propager. On ne vous a pas dit que sur internet on pouvait tout trouver, surtout n'importe quoi ?

avatar Lestat1886 | 

@KrummenHacker :
Plusieurs sites en parlent... S'il y a un dementi, je retirerai volontiers mon commentaire :)

avatar iPekka | 

En même temps, et comme souvent, plusieurs sites parlent d'un autre site qui en parle à son tour...

Comme le dit Rez2a juste en dessous ça me semble étrange que ce ne soit pas Rovio à la maison qui fasse la build finale... Qu'ils fassent appel à des devs chinois me semble déjà un peu difficile à croire (pour un jeu comme AB et pour une boite comme Rovio) ; je suis pas certain que le gain soit si évident et que le jeu en vaille la chandelle. Mais que la build soit faite par un presta en Chine j'y crois pas du tout.

Dans le doute je vais évidemment supprimer l'app. En espérant le faire pour rien. Et je vais gentiment attendre les déclarations d'Apple (?) et de Rovio à ce sujet. Mais il ne fait aucun doute que le sujet est des plus inquiétants...

avatar Rez2a | 

@C1rc3@0rc :
Oui enfin si le code est en partie sous-traité en Chine et si le malware est inséré lors de la compilation, j'ai du mal à croire que ça soit le sous-traitant qui compile le build final quand même.

avatar C1rc3@0rc | 

Il suffit d'une librairie compilée a linker.
Mais si c'est ça, alors c'est la version officielles qui est touchée!

avatar MarcMame | 

"En ce qui concerne Angry Birds 2 et oPlayer, ces deux applications sont toujours disponibles sur la boutique mobile, sans qu’on sache si elles ont été mises à jour ou pas."
-------------------
C'est une blague ? Ils prendraient le risque de mettre à jour une app sans modifier son numéro de version ? Je n'y crois pas une seconde.

avatar lmouillart | 

On voit bien que contrairement aux dires d'Apple un système de sécurité actif, est indispensable pour iOS (et OS X).

avatar C1rc3@0rc | 

Ca n'aurait rien changé et on aurait des faux positif en plus d'une inflation dans la consommation des ressources. Les systèmes antivirus prédictifs sont non seulement inefficaces mais il pourrissent aussi les performances des machines!

Par contre il serait utile qu'Apple fasse des tests extensifs sur les communications lors de la phase de certification. Y a assez d'outils pour ça.

L'autre élément qui va certainement intervenir suite a cette affaire ca va etre de verrouiller un peu plus Xcode et la soumission des app. On peut imaginer qu'a l'avenir Apple installe une clef asymétrique qui permette de vérifier avec quel nº de serie d'Xcode il a ete compilé et que cette clef permette aussi de vérifier l’intégrité d'Xcode (avec un activation reseau par exemple).

avatar patrick86 | 

Angry Birds ayant été repéré pour sa collecte abusive des données de géolocalisation, cette nouvelle est à peine étonnante.

avatar Yoskiz (non vérifié) | 

Purée !!!! J'ai supprimé Angry Bird 2 mais que risque t-on au juste ?

avatar Lestat1886 | 

C'est bizarre pas mal d'apps qui sont cités dans différents articles sont toujours disponibles sur le store français (angry birds, cam cards...) alors que d'autres (Oplayer par exemple) ne le sont effectivement plus apparemment...

avatar Yoskiz (non vérifié) | 

@MacGéné savez-vous qu'elles sont les éduqués ?

avatar Yoskiz (non vérifié) | 

@MacGéné savez-vous quelles sont les risques ?
(Désolé du commentaire précédent mais puisque on ne peut pas éditer son commentaire sur l'application iOS...)

avatar XiliX | 

Autant OPlayer n'existe plus dans le store, autant Angry Birds 2 existe toujours.
Il est fort probable donc que "Angry Birds 2" ne soit pas touché ???

avatar Yoskiz (non vérifié) | 

@XiliX :
Bonne question je doute que l'application soit différente suivant les pays mais bon au final je n'en sais rien...
Je flippe un peu ayant installé comme beaucoup ce jeu...

avatar nicoboon | 

Ce fut l'occasion de supprimer les free to play à la con de Rovio pour ma part ^^

avatar Rattlehead | 

Vu sur le site 9to5mac.
Il semblerait que seule la version locale chinoise soit concernée. Les copies des autres pays étant non concernées.

http://9to5mac.com/2015/09/21/xcodeghost-infected-apps/

Il faut néanmoins rester prudent... Tant que Apple n'a pas fait toute la lumière nécessaire.
D'un autre côté si problème détecté je suppose que Apple aurait retiré rapidement l'app.

avatar phoenixback | 

Elles vont ou les données volées?
C'est un pearl harbor moderne je demande une attaque de drone sur les responsables immédiatement.

avatar carl015 | 

Notre application d'Angry Birds 2 n'est pas affectée d'après le support technique de Rovio. Seulement la version sur le store chinois : https://support.rovio.com/hc/en-us/articles/210094088

avatar Lestat1886 | 

@carl015 :
Je ne sais pas si c'est plus excusable! Les chinois restent des clients comme les autres.

avatar RyDroid | 

C'est ce que Rovio dit... sans preuve ou explication.

avatar marsu94000 | 

Dans de plus en plus d'entreprises les postes sont virtualisés et les logiciels sont présents ou absents selon les droits donnés à l'utilisateur. Ce qui permet à tout le monde d'accéder à son environnement depuis n'importe quel poste.
Le développeur n'a pas accès pour savoir si l'outil vient du site à ou b.

Pages

CONNEXION UTILISATEUR