Apple fait le nécessaire pour s'assurer que seules des applications approuvées peuvent s'exécuter sur des appareils tournant sous iOS. Une tâche forcément ardue alors que l'App Store affiche plus de 900 000 applications.

iPhone 5 logo Des chercheurs en sécurité ont mis au point une méthode permettant à des attaquants de dissimuler le comportement malveillant d'une application et ainsi passer entre les mailles du filet du processus d'évaluation de l'App Store.

L'idée exposée par les chercheurs de Georgia Tech ( PDF ) est de rendre les applications exploitables à distance et d'introduire ultérieurement - après le processus d'évaluation - un comportement malveillant en réarrangeant du code signé.

En guise de preuve de concept, une application Jekyll se présentant comme un lecteur d'actualités (pour Georgia Tech) a pu être publiée dans l'App Store. Une fois reconfigurée à distance, elle a permis de mener des actions malveillantes comme la publication à l'insu de l'utilisateur de tweets, l'envoi de SMS et emails, la prise de photos, le vol de données d'identification de l'appareil.

Les chercheurs ajoutent qu'en dépit d'une exécution dans la sandbox d'iOS, il a également été possible d'exploiter des vulnérabilités dans le noyau.

L'application Jekyll a été publiée seulement quelques minutes en mars. Les chercheurs l'ont alors installée sur leurs propres iDevices afin de mener leur expérience et s'attaquer eux-mêmes. Ils l'ont ensuite retirée de l'App Store.

Leur trouvaille a été partagée avec Apple en mars et une correspondance a depuis été entretenue. À MIT Technology Review, un porte-parole d'Apple a indiqué que des changements ont été apportés au système d'exploitation mobile iOS afin de prendre en compte les problèmes identifiés par les chercheurs.

Il ne s'est par contre pas prononcé sur le cas du processus d'évaluation des applications par Apple. Pour Long Lu de l'équipe des chercheurs de Georgia Tech :

" Le message que nous voulons livrer est que pour le moment, le processus d'évaluation d'Apple effectue principalement une analyse statique de l'application, ce que nous estimons ne pas être suffisant parce que la logique générée dynamiquement ne peut pas être facilement vue. "

La méthode des chercheurs de Georgia Tech peut néanmoins s'appliquer à n'importe quel système d'exploitation. Ils avaient par ailleurs déjà fait la démonstration d'un chargeur Apple permettant de pirater automatiquement des dispositifs.