iOS : faille dans la certification des applications maj

Le par  |  0 commentaire(s) Source : Threat Post
iPhone 4S 02

L'expert en sécurité Charlie Miller a encore frappé et trouvé une faille dans iOS qui permet de publier des applications vérolées sur l'App Store malgré le processus de validation d'Apple.

iPhone 4S 02En contrôlant étroitement ce qui est diffusé sur son portail App Store, Apple a su lutter efficacement contre les applications malveillantes cachant sous des apparences anodines des malwares cherchant à récupérer des données personnelles ou à gonfler la facture mobile des utilisateurs.

Cependant, ce système de validation peut être mis en défaut par un bug présent à partir de iOS 4.3 et au-delà, permettant de publier dans l' App Store des applications cachant des outils permettant de prendre à distance un contrôle partiel de l'appareil mobile et d'accéder à certaines données.

La faille a été découverte par Charlie Miller, expert en sécurité chez Accuvant, qui a publié sur l' App Store une application utilisant ce défaut de sécurité qui est d'autant plus gênant qu'il est exploitable non pas sur des terminaux jailbreakés mais sur des appareils standard, avec des applications non pas disponibles sur un portail alternatif mais bien sur l' App Store officiel.


Rester vigilant

D'un autre côté, la faille ne permet pas une aussi grande liberté que celle qu'offrirait un véritable cheval de Troie. Charlie Miller indique que la première version de son application de test n'avait pas passé la barrière de la validation par Apple mais la raison n'était pas liée à la présence de la faille.

Au vu du nombre d'applications cherchant à se frayer un chemin vers l' App Store, il est sans doute impossible de tester rigoureusement tous les logiciels proposés. Si Apple ne dit rien de son processus de certification, le système doit vraisemblablement tester en série certains aspects en environnement simulé...et la faille découverte par Charlie Miller semble échapper à cette investigation.

Ce dernier a prévenu Apple le 14 octobre dernier, laissant du temps à la société pour trouver une parade. Il veut aussi mettre en garde contre la fausse confiance apportée par le mécanisme de l' App Store et des applications qui s'y trouvent.

 

 

MàJ 16h30 : depuis que Charlie Miller a dévoilé sa petite expérience d'application malicieuse ayant réussi à passer la validation d' Apple pour se retrouver sur l' App Store, son compte développeur iOS a été désactivé pour un an, le groupe de Cupertino l'accusant de ne pas avoir respecté les conditions d'utilisation du service, tandis que son application test a été retirée du portail.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]