La semaine dernière, des informations ont été révélées selon lesquelles un petit pourcentage d’applications de l’App Store sur les appareils iOS avaient été infectées par des logiciels malveillants injectés dans des versions de Xcode non directement téléchargées depuis le site Web d’Apple. En réponse à ces piratages, Apple a exhorté aujourd’hui les développeurs à valider leur version de Xcode et à s’assurer qu’ils téléchargent uniquement les nouvelles versions d’Apple. La société basée à Cupertino a informé les développeurs de la situation ce matin par e-mail :
Nous avons récemment supprimé de l’App Store les applications créées avec une version contrefaite de Xcode susceptible de nuire aux clients. Vous devez toujours télécharger Xcode directement depuis le Mac App Store ou depuis le site Web des développeurs Apple, et laisser Gatekeeper activé sur tous vos systèmes pour vous protéger contre les logiciels falsifiés.
Lorsque vous téléchargez Xcode depuis le Mac App Store, OS X vérifie automatiquement la signature de code de Xcode et valide qu’il s’agit d’un code signé par Apple. Lorsque vous téléchargez Xcode depuis le site Web Apple Developer, la signature du code est également automatiquement vérifiée et validée par défaut tant que vous n’avez pas désactivé Gatekeeper.
Que vous ayez téléchargé Xcode depuis Apple ou reçu Xcode à partir d’une autre source, telle qu’un disque USB ou Thunderbolt, ou via un réseau local, vous pouvez facilement vérifier l’intégrité de votre copie de Xcode.
Apple a également publié un message à développeurs sur son site internet avec des informations complémentaires. Apple a fourni aux développeurs un outil de ligne de commande pour vérifier que leur version de Xcode n’est pas infectée. Apple a également recommandé aux développeurs d’installer une copie vierge de Xcode téléchargée directement depuis le portail des développeurs d’Apple (via le Mac App Store) avant de soumettre une nouvelle application ou une mise à jour d’application à l’App Store.
Dans le même ordre d’idées, Phil Schiller d’Apple a déclaré à Sina qu’aucune application malveillante n’avait réellement transmis de données utilisateur :
Phil Schiller d’Apple a déclaré au site Web chinois Sina qu’Apple n’a connaissance d’aucun cas où des applications malveillantes ont transmis des données utilisateur.
– CNBC maintenant (@CNBCnow) 22 septembre 2015
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.