1 votes

user148013 avatar

Comment déterminer ce que fait une application et si elle contient des logiciels malveillants ?

Demandé el 22 de Septembre, 2015
Quand la question a-t-elle été
512 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comment pouvons-nous savoir sur iOS et OS X ce qu'une application fait vraiment?

Sur OS X, vous pouvez toujours faire ce qui suit: faites un clic droit sur un .app et "afficher le paquet". Contenu -> MacOS et double-cliquez sur le fichier exécutable Unix. Le Terminal s'ouvre et vous dit d'une certaine manière ce que fait l'application.

Je ne sais pas si vous avez entendu parler, mais il semble que quelqu'un ait modifié le compilateur de Xcode pour ajouter des logiciels malveillants aux applications. Ce compilateur modifié est, comme le dit la presse, largement répandu en Chine, de sorte que de nombreuses applications sont touchées. Comme le dit également la presse, une entreprise a détecté environ 400 applications qui semblent être infectées.

Ma question maintenant est, comment pouvez-vous savoir ce que fait une application sur iOS? Comment déterminer si elle contient des logiciels malveillants ou quelque chose d'autre nuisible.

Et y a-t-il un autre moyen de savoir ce que font les applications sur OS X que de démarrer le fichier Unix exécutable situé dans le paquet de l'application?

Demandé el 22 de Septembre, 2015 par user148013

Réponses

Trop de publicités?

3voto

nohillside avatar
nohillside Points 82672

Une réponse courte: vous ne pouvez pas savoir

Une réponse un peu plus longue: simplement exécuter et utiliser l'application ne vous montrera pas ce qui se passe en coulisses. Pour creuser cela, vous devrez exécuter l'application dans un environnement de débogage pour analyser les données et les flux de processus, suivre les sous-processus créés, surveiller toute communication réseau initiée par l'application etc. etc. Comme c'est assez fastidieux et nécessite beaucoup de compétences et d'expérience, cela se résume généralement à faire confiance à la fin.

Répondu el 22 de Septembre, 2015 par nohillside (82672 Points )

1voto

bMalum avatar
bMalum Points 1301

Sur iOS

Le problème avec Xcode Ghost est la communication vers un autre serveur. Il serait donc possible de reconnaître cette connexion si vous configurez un proxy comme demandé dans cette question ici et utilisez Wireshark pour voir les connexions. Pour une connexion HTTP, Charles devrait également fonctionner. Vous pouvez également voir dans Xcode dans le gestionnaire de périphériques le journal de la console, qui est presque le même que la sortie du terminal de l'application Mac. Mais les développeurs peuvent masquer des informations, ils n'ont pas à imprimer chaque procédure dans le terminal/console.

Sous OS X

Il existe d'autres moyens de détecter le trafic TCP/IP, manuellement via WireShare ou en utilisant des applications comme (LitteSnitch, HandsOff, PrivateEye). HandsOff est la seule application qui suit également la lecture/écriture de fichiers et bien d'autres choses.

Conclusion

Vous devez faire confiance aux développeurs et espérer qu'ils utilisent le Xcode original d'Apple. Nous n'avons pas assez d'outils (automatisés) pour suivre chaque fonction d'une application.

Répondu el 22 de Septembre, 2015 par bMalum (1301 Points )

1voto

Brant Bobby avatar
Brant Bobby Points 4540

Vous ne pouvez pas vraiment déterminer ce qu'une application fait en dehors d'essayer de comprendre ce que son code binaire fait. D'un point de vue réseau, vous pouvez voir tout le trafic entrant et sortant de votre machine avec quelque chose comme LittleSnitch.

Je ne suis pas sûr de la vérification des autres applications pour les logiciels malveillants, mais Apple a envoyé un e-mail avec des informations sur la façon de vérifier si votre version de Xcode contient des logiciels malveillants. Ils recommandent que vous le téléchargiez toujours depuis le Mac App Store ou leur site Web pour développeurs. Si vous devez l'installer à partir d'un autre endroit (clé USB), suivez ces étapes.

Pour vérifier l'identité de votre copie de Xcode, exécutez la commande suivante dans Terminal sur un système avec Gatekeeper activé :

spctl --assess --verbose /Applications/Xcode.app

où /Applications/ est le répertoire où Xcode est installé. Cet outil effectue les mêmes vérifications que Gatekeeper utilise pour valider les signatures de code des applications. L'outil peut prendre jusqu'à plusieurs minutes pour terminer l'évaluation de Xcode.

L'outil devrait renvoyer le résultat suivant pour une version de Xcode téléchargée depuis le Mac App Store :

/Applications/Xcode.app : source acceptée=Mac App Store

et pour une version téléchargée depuis le site Web des développeurs Apple, le résultat devrait lire soit

/Applications/Xcode.app : source acceptée=Apple

ou

/Applications/Xcode.app : source acceptée=Apple System

Tout résultat autre que 'accepté' ou toute source autre que 'Mac App Store', 'Apple System' ou 'Apple' indique que la signature de l'application n'est pas valide pour Xcode. Vous devriez télécharger une copie propre de Xcode et recompiler vos applications avant de les soumettre pour examen.

Répondu el 22 de Septembre, 2015 par Brant Bobby (4540 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X