Les hackers peuvent obtenir un accès complet à votre iPhone/iPad avec ces 2846 applications compromises sur l'App Store d'Apple

Des chercheurs découvrent une porte dérobée dans 2846 applications iOS qui peuvent permettre un accès complet aux hackers

Les chercheurs de FireEye ont découvert que des milliers d’applications répertoriées sur l’App Store d’Apple contiennent une porte dérobée qui peut permettre à des acteurs malveillants d’accéder à des données sensibles des utilisateurs et à la fonctionnalité de l’appareil. La recherche a été menée par une équipe de chercheurs en sécurité de FireEye composée de Zhaofeng Chen, Adrian Mettler, Peter Gilbert et Yong Kang, publiée sur son site Web aujourd’hui.

Selon les chercheurs, des milliers d’applications iOS qui sont vérifiées par l’équipe de sécurité d’Apple et répertoriées sur l’App Store d’Apple contiennent une telle porte dérobée. Les applications malveillantes ont des versions « compromises » potentielles d’une bibliothèque publicitaire intégrées dans des milliers d’applications iOS initialement publiées sur l’App Store d’Apple, selon les chercheurs.

Le fait surprenant découvert par les chercheurs est que la « porte dérobée potentielle » pourrait avoir été contrôlée à distance par des hackers en chargeant du code JavaScript depuis un serveur distant pour effectuer les actions suivantes sur un appareil iOS :

• Capturer de l’audio et des captures d’écran

• Surveiller et télécharger la localisation de l’appareil

• Lire/supprimer/créer/modifier des fichiers dans le conteneur de données de l’application

• Lire/écrire/réinitialiser le trousseau de l’application (par exemple, stockage de mots de passe de l’application)

• Publier des données chiffrées sur des serveurs distants

• Ouvrir des schémas d’URL pour identifier et lancer d’autres applications installées sur l’appareil

• « Installer » des applications non App Store en incitant l’utilisateur à cliquer sur un bouton « Installer »

Les chercheurs ont trouvé que la bibliothèque publicitaire en cause est une version du SDK mobiSage. Ils ont trouvé 17 versions distinctes de la bibliothèque publicitaire potentiellement compromise : codes de version 5.3.3 à 6.4.4. Cependant, dans le dernier SDK mobiSage publié publiquement par adSage – version 7.0.5 – les portes dérobées potentielles ne sont pas présentes. Il n’est pas clair si les versions potentiellement compromises de la bibliothèque publicitaire ont été publiées par adSage ou si elles ont été créées et/ou compromises par un tiers malveillant.

Au 4 novembre, les chercheurs de FireEye ont identifié 2 846 applications iOS contenant les versions potentiellement compromises du SDK mobiSage. Les chercheurs ont également trouvé plus de 900 tentatives de contacter un serveur adSage capable de livrer du code JavaScript pour contrôler les portes dérobées.

FireEye déclare avoir informé Apple de la liste complète des applications affectées et des détails techniques le 21 octobre 2015.

Les chercheurs n’ont pas trouvé que les applications défectueuses étaient exploitées dans la nature, cependant, ils ont noté que dans de mauvaises mains, le code JavaScript malveillant qui déclenche les portes dérobées potentielles pourrait être publié pour finalement être téléchargé et exécuté par les applications affectées.