211service.com
Les logiciels malveillants assemblés à distance dépassent le processus de filtrage d'Apple
Le mystère a longtemps entouré la façon dont Apple contrôle les applications iPhone, iPad et iPod pour la sécurité. Maintenant, les chercheurs qui ont réussi à mettre en vente une application malveillante dans l'App Store ont déterminé que le processus d'examen de l'entreprise exécute au moins certains programmes pendant quelques secondes seulement avant de donner le feu vert.

Mauvaises nouvelles: Une capture d'écran d'une application qui n'offrait prétendument que des nouvelles de Georgia Tech, mais qui était en réalité chargée de logiciels malveillants.
Cela n'a pas été assez long pour qu'Apple remarque qu'une application qui prétendait offrir des nouvelles de Georgia Tech contenait des fragments de code qui se sont ensuite assemblés en une créature numérique malveillante. Ce malware, que les chercheurs ont surnommé Jekyll, pourrait publier furtivement des tweets, envoyer des e-mails et des SMS, voler des informations personnelles et des numéros d'identification d'appareil, prendre des photos et attaquer d'autres applications. Il offrait même un moyen d'amplifier ses effets, car il pouvait diriger Safari, le navigateur par défaut d'Apple, vers un site Web contenant davantage de logiciels malveillants.
L'application a fait un téléphone à la maison lors de son installation, demandant des commandes. Cela nous a permis de générer un nouveau comportement de la logique de cette application qui était inexistante lors de son installation, explique Long Lu, un chercheur de l'Université Stony Brook qui faisait partie de l'équipe de Georgia Tech, dirigée par Tielei Wang, qui a écrit le Application trompeuse.
L'application Jekyll n'a fonctionné que quelques minutes en mars et aucune victime innocente ne l'a installée, a déclaré Lu. Pendant cette brève période, les chercheurs l'ont installée sur leurs propres appareils Apple et se sont attaqués, puis ont retiré l'application avant qu'elle ne puisse faire de réels dommages.
Lu dit qu'en surveillant l'application, ils pouvaient dire qu'Apple ne l'avait exécutée que quelques secondes avant de la publier. Au cours de l'examen, le code malveillant avait été décomposé en gadgets de code qui étaient cachés sous le couvert d'opérations d'application légitimes et pouvaient être assemblés après approbation. Le message que nous voulons faire passer est qu'à l'heure actuelle, le processus d'examen d'Apple effectue principalement une analyse statique de l'application, ce qui, selon nous, n'est pas suffisant car la logique générée dynamiquement ne peut pas être très facilement vue, dit Lu (voir Indices suggérant que les logiciels malveillants se déplacent des PC aux appareils mobiles).
Le document devait être présenté vendredi à la conférence Usenix à Washington, D.C. Tom Neumayr, un porte-parole d'Apple, a déclaré que la société avait apporté quelques modifications à son système d'exploitation mobile iOS en réponse aux problèmes identifiés dans le document. Neumayr n'a pas souhaité commenter le processus d'examen de l'application.
Apple a vendu plus de 600 millions d'appareils fonctionnant sous iOS (iPhones, iPads et iPod Touches), mais seule une poignée d'applications malveillantes ont été découvertes. La nouvelle recherche montre qu'il est possible que de mauvaises applications persistent sur les appareils Apple sans avoir été détectées, dit Lu.
Pour savoir si tel est le cas, le processus de vérification des applications devrait inclure une surveillance continue des téléphones des clients, explique Marc Rogers, chercheur principal chez Lookout, une entreprise de sécurité mobile. Il a souligné que tous les systèmes d'exploitation sont vulnérables à ce type d'attaque, qu'elles soient mobiles ou non.
Xuxian Jiang, chercheur en sécurité mobile à l'Université d'État de Caroline du Nord qui a enquêté sur la sécurité des appareils Android et de la boutique d'applications de Google, Google Play, ajoute que la nouvelle recherche nous rappelle simplement qu'aucun processus de vérification des applications ne sera parfait.
Cette histoire a été mise à jour pour préciser que lors du test d'Apple, l'application n'a été exécutée que quelques secondes. Cette mise à jour a également élargi le contexte du commentaire de Neumayr.