XcodeGhost : Apple avait envisagé d'alerter directement les utilisateurs infectés, mais ne l'a pas fait

Félix Cattafesta | 20/05/2021 à 16:00

En 2015, un malware a infecté plusieurs applications populaires sur iOS sans qu'Apple ne prévienne directement les utilisateurs infectés.

Craig Federighi a déclaré à l'occasion du procès Apple contre Epic que « dans la communauté de la sécurité informatique, il est reconnu qu'Android a un problème de malware qu'iOS est parvenu jusqu'à présent à éviter ». Cette annonce reste à nuancer comme le montrent plusieurs emails internes dévoilés à l'occasion de ce même procès. En 2015, des managers d'Apple ont réalisé que quelques 2 500 applications étaient infectées par un malware. Un problème qu'Apple a tâché de résoudre sans faire trop de bruit, sans prévenir directement les 128 millions d'utilisateurs ayant téléchargé lesdites applications.

Le malware était ajouté aux applications par une version vérolée de Xcode, surnommée XcodeGhost, particulièrement populaire en Chine en raison des difficultés pour se procurer le logiciel par le biais d'Apple. Le code malveillant permettait aux apps infectées d'envoyer plusieurs informations, notamment le nom de l'application, de l'appareil, son type et son identifiant unique. Dans un communiqué sur son site qui a depuis été supprimé, Apple expliquait que des applications chinoises très utilisées comme WeChat, Himalaya FM ou encore une version d'Angry Birds avaient été infectées. Ces applications avaient été téléchargées 203 millions de fois, et la firme recommandait sur son site de les mettre à jour très rapidement.

D'après les emails révélés lors du procès, Apple a tout d'abord envisagé d'envoyer un mail traduit dans de nombreuses langues à chaque utilisateur touché en indiquant le nom de l'application problématique. Cependant, la firme n'a jamais terminé cette tâche et s'est contentée d'un simple communiqué. Une décision qui fait tache pour l'entreprise, qui utilise régulièrement la sécurité de ses clients comme argument marketing.

Source

Ars Technica

Apple teste l'apprentissage automatique en Apple Store pour vendre des Mac

Retrouvez l'anonymat sur Internet en trois clics 📍

Apple et OpenAI discuteraient depuis un an sous l'œil attentif de Microsoft

IA : Apple aurait conçu une "boite noire" pour traiter les données personnelles sur ses serveurs

Promo : le chargeur kawaii RobotGaN 65 W d’Ugreen à 40 € au lieu de 50

byte_order | 20/05/2021 à 16:44

La fameuse sécurité par l'obscurantisme...

huexley | 20/05/2021 à 16:53

128 millions / 203 millions

Joli score.

raoolito | 20/05/2021 à 17:19

@huexley

j'ai du amal à saisir il me semble que ces deux chiffres parlent d ela meme chose non ? Et pourtant ils sont différents ?

asseb | 20/05/2021 à 17:24

@raoolito

128 millions d’utilisateurs qui ont téléchargé 203 millions d’apps vérolées (vu que plusieurs apps différentes étaient vérolées).

debione | 20/05/2021 à 17:02

Ce n'est pas POSSIBLE!

C'est un peu la dangerosité de se croire à l'abri, alors que... 2500 applications infectées (et encore, si c'est comme le marché de la drogue il doit en rester quelques centaines de millier)... Bref, c'est comme croire qu'un Air bag nous protégera en cas de chute dans un ravin de 100 mètres...

Yohmi | 20/05/2021 à 17:16

@debione

2500 c'est un postillon dans l'océan, non ? Il y en avait déjà 1,7 millions en 2015.
Et si ça concerne principalement les applications chinoises, pour le coup c'est peut-être pas la faille du siècle. J'avoue qu'à chaque fois que j'utilise WeChat, j'essaie d'oublier que tout est scruté par un gouvernement à qui je n'ai pourtant rien envie de dire. Mais ça reste présent à l'esprit, pourtant je ne l'ai toujours pas désinstallé…

debione | 20/05/2021 à 19:36

@ Yohmi:

200 million de personnes c'est aussi un postillon? :)
Et ça c'est que l'on sait à l'heure X. (pour ça que je faisais la comparaison foireuse avec la drogue, quand on t'annonce une prise de 100kg c'est qu'il y a 100 tonnes qui sont passé juste à côté).

Bref, au lieu de se gargariser sur la nullité des autres, Apple ferait mieux de rogner un peu sur sa marge et coller un peu plus à son marketing (mais cela demanderait beaucoup d'embauche pour un résultat financier plus que discutable, à quoi bon? Par contre, dans le cas d'un jugement elle pourrait faire très mal celle-là...)

nnay07 | 20/05/2021 à 19:39

@debione

“Bref, c'est comme croire qu'un Air bag nous protégera en cas de chute dans un ravin de 100 mètres..."
Et du coup vous proposez qu’on élimine les airbags parce que des fois c’est inefficace?

On élimine les contrôles de sécurités d Apple parce que de temps en temps quelque chose passe à travers de la raquette?

debione | 20/05/2021 à 20:01

@ nnay07:

Ajoute mon dernier commentaire: Je préconise que justement ils engagent 10k de personnes pour vraiment coller à leurs arguments marketing... Ou alors changer leurs marketing (si je reprends l'exemple foireux de l'airbag, si le constructeur te dis dans son marketing que tu es à l'abri même d'une chute de 100 mètres, ben tu équipes les voitures de parachute)
Mais bon cela risquerait de faire passer la marge de 35 à 34 % pour aucune vente supplémentaire... Impensable!

Billytyper2 | 21/05/2021 à 02:55

@debione

Peu de chance que le parachute soit ouvert avec seulement 100m 😇

debione | 21/05/2021 à 08:15

@ Billytyper2:

Me suis dit la même chose en l'écrivant, mais je me suis dit que des rétro-fusées à stabilisation spatiale gyroscopique c'était peut-être un peu trop.... ;)

fte | 20/05/2021 à 17:08

Le contrôle despotique et la centralisation sur un Store unique pour la plus haute sécurité…

quand le despote fait le job avec compétence.

Il y en a encore qui s’illusionnent sur les compétences en sécurité d’Apple ?!

Oh, je ne dis pas qu’ils sont mauvais. Assez moyens en fait. Mais bons, nope.

raoolito | 20/05/2021 à 17:20

@fte
parce qu'il y a des bons en store ? Des TRES bons qui seraient des chefs avec un store alternatif ?
(vous me direz, ce serait drole si le dit store alternatif basait sa com' sur une meilleure securité que le store d'apple hahaha )

vince29 | 20/05/2021 à 17:49

pas impossible si ton store sélectionne les "100 meilleures apps".

fte | 20/05/2021 à 17:52

@raoolito

"ce serait drole si le dit store alternatif basait sa com' sur une meilleure securité que le store d'apple hahaha"

Ah j’avoue que j’apprécierais grandement cette forme d’humour. :)

Ecrapince | 20/05/2021 à 18:28

Comment faire croire que tous va bien et qu'ya que la concurrence qui a un problème ? Caché la vérité sous le tapis et au pire dire que ça un touche un faible % d'utilisateurs. Tant que la justice n'aura pas mis son nez dedans, certains croiront dur comme fer aux discours marketing même s'ils sont complètement faux et mensongers. :)

occam | 20/05/2021 à 19:20

« You fact it wrong. »

Dans la réalité alternative d’Apple, il n’y a pas de place pour ce genre de faits qui dérangent. Sauf par immission, venant subrepticement d’un passé qui n’a jamais eu de présent officiel. Le contrôle du passé est encore incomplet, mais on y travaille.
Idéalement, il fera toujours 1984.

huexley | 21/05/2021 à 09:01

d'ailleurs il est curieusement vide des ardents défenseurs de la bonne pensée "Apple" ce sujet.

debione | 21/05/2021 à 09:46

@ huexley:

Me suis fait la même remarque... Ils sont ou?
Sympa de comparer avec les 248 commentaires ou on nous dit que l'univers Mac c'est de la merde comparativement à iOS... ;)