L’attaque XcodeGhost contre l’App Store

Date :08 Septembre 2015

Publication: Article

Au mois de septembre Palo Alto Networks a découvert XcodeGhost, une menace contre les applications iOS, et a ainsi révélé que pour la première fois, l’App Store d’Apple était victime d’un piratage de grande ampleur.

La méthode de compromission

Des hackers ont en effet trouvé un moyen de contourner la difficulté d’infecter les applications iOS en s’attaquant à XCode, l’environnement de développement d’Apple pour iOS et Mac OS-X.

En Chine les débits d’internet sont lents, le téléchargement de XCode (dont la taille dépasse les trois gigaoctets) depuis un site officiel d'Apple peut être très long, et les développeurs ont pris l'habitude de le télécharger depuis des sites locaux non fiables, ou de se l'échanger.

Une personne malveillante a mis en circulation une version piégée de XCode qui génère des applications infectées, authentifiées.

L’impact

Comme beaucoup de sociétés font développer leurs applications dans des pays low cost, de nombreuses applications authentifiées, mais infectées ont été mises dans l'App Store.

Le nombre de ces applications est très variable selon les sources : de 25 pour Apple à plus de 4.000 pour l'éditeur FireEye.
Les applications populaires WeChat, PDF Reader, WinZip, Pocket Scanner, CamCard ont été compromises.

Selon Palo Alto, le découvreur, les applications iOS infectées avec XcodeGhost collectent des informations sur le système et l’application, puis elles chiffrent et envoient ces informations, via le protocle http, vers des serveurs de commande et contrôle (command and control servers – C2 servers).

Les actions pour arrêter l’attaque et diminuer le risque

Apple a réagit en :

  • Nettoyant l’App Store.
  • Installant un serveur local en Chine pour diminuer le temps de téléchargement de Xcode.
  • Travaillant conjointement avec les développeurs pour s’assurer qu’ils utilisent une version officielle de Xcode.

Baidu a supprimé toutes les versions malveillantes de l’installateur Xcode, installées sur son service cloud de partage de fichiers.

Les serveurs CC ont été déconnectés.

Nous vous conseillons vivement de consulter régulièrement la page d'information d’Apple sur les applications impactées pour vérifier si l'une de vos applications a été infectée, et si Apple propose une nouvelle version saine de cette apllication.
Les tentatives de connexions aux serveurs CC (cf. article de Palo Alto) peuvent être un moyen de detecter une application infectée.

Conclusions

Cette attaque est remarquable pour deux raisons :

  • C‘est la première attaque d’ampleur contre l’App Store,
  • l’App Store a été attaquée indirectement, en ciblant les développeurs.

Apple sait maintenant que les développeurs sont une cible privilégiée des attaquants qui veulent s’introduire dans l’App Store, et devra prendre en compte cette donnée dans sa politique de sécurité.

Les différentes mesures prises (suppression des applications impactées les plus populaires, arrêt des serveurs CC, éradication des versions malveillantes de Xcode) ont largement diminué la menace de cette attaque.
Toutefois il est probable que de nombreuses applications infectées sont encore sur l’App Store, et que cette attaque n’est pas complètement stoppée.

Pour en savoir plus :