Suite à l’incident XcodeGhost survenu il y a quelques jours, Apple a communiqué avec les développeurs en leur donnant la procédure à suivre afin de valider que leur version de Xcode est légitime.
Tel que nous vous l’avons rapporté hier, Apple doit actuellement composer avec de nombreuses applications iOS contaminées par un code malveillant qui ont réussi à passer l’inspection d’Apple avant de s’introduire dans l’App Store.
Le stratagème employé par le pirate derrière le maliciel en question, dénommé XcodeGhost, est d’une simplicité déconcertante : il a d’abord modifié une version de Xcode, le logiciel d’Apple utilisé pour développer des applications iOS et OS X, puis a transmis sa création dans le réseau BitTorrent par le biais d’hébergeurs de fichiers Torrent.
Schiller a confirmé qu’Apple travaillait sur une solution visant à permettre un temps de téléchargement plus rapide à l’étranger.
Bien que Xcode soit gratuit, le téléchargement du fichier d’installation (dont la taille est de 3,6 Go) peut prendre beaucoup de temps, particulièrement en Chine, où l’on a observé une plus forte propagation du maliciel. Puisqu’il était plus rapide de télécharger le fichier à partir du réseau BitTorrent, plusieurs développeurs chinois ont alors privilégié cette option. Une fois installée, cette version altérée de Xcode intègre automatiquement le maliciel XcodeGhost à toute application compilée par ces développeurs, à leur insu.
«Aux États-Unis, le téléchargement dure en moyenne 25 minutes», a expliqué Phil Schiller, vice-président du marketing d’Apple, en entrevue avec le blogue chinois Sina. «En Chine, le même téléchargement peut prendre jusqu’à trois fois plus de temps.»
Schiller a également confirmé qu’Apple travaillait sur une solution visant à permettre un temps de téléchargement plus rapide à l’étranger, et ainsi éviter qu’un tel problème se reproduise.
Comment valider votre version de Xcode
Apple a transmis un courriel à l’ensemble des développeurs iOS afin de les inviter à valider la conformité de leur copie de Xcode. Bien que l’entreprise insiste sur le fait qu’il est toujours préférable de télécharger des applications directement du Mac App Store ou de son site web, Apple a tout de même fourni la procédure à suivre pour éviter d’avoir à supprimer, télécharger, puis réinstaller Xcode.
Les développeurs qui souhaitent valider l’authenticité de leur version de Xcode n’ont qu’à taper la commande suivante dans Terminal :
spctl --access --verbose /Applications/Xcode.app
Bien entendu, cette commande tient pour acquis que l’application a été installée dans le dossier Applications de la racine du disque dur principal. Une fois exécuté, l’outil validera la signature du logiciel (une opération qui peut prendre plusieurs minutes) avant d’afficher sa provenance.
Le résultat devrait être Mac App Store, Apple ou Apple System. Toute autre source devrait être considérée comme suspecte, et le développeur aurait avantage à télécharger Xcode directement d’Apple avant de compiler quoi que ce soit destiné à être soumis à l’App Store.