iOS : un bug ouvre la porte à de fausses applications sur iPhone et iPad

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités iOS : un bug ouvre la porte à de fausses applications sur iPhone et iPad

Publié le 12 novembre 2014 à 16:10 par Jérôme G.

Lire sur mobile

Mise au jour par FireEye, une vulnérabilité permet à des attaquants d'installer de fausses applications qui prennent la place d'applications légitimes sur iPhone et iPad. Pour l'utilisateur lambda, la menace paraît faible.

Après WireLurker avec son chemin empruntant un ordinateur Mac et un câble USB, c'est Masque Attack. La société de sécurité FireEye a identifié un problème dans iOS permettant à des attaquants d'obtenir un accès à des informations personnelles.

Avec Masque Attack, un attaquant peut remplacer une application signée numériquement par une entreprise par une application malveillante. Les applications préinstallées sont par contre immunisées.

Dans une démonstration, un exploit remplace une application Gmail téléchargée depuis l'App Store d'Apple par une version compromise de cette même application. Cette dernière imite l'application légitime. En tâche de fond, elle transmet toute la boîte de réception à un serveur de l'attaquant. Celui-ci peut en outre également accéder à tous les SMS envoyés à l'iPhone.

FireEye assure avoir vérifié la présence de la vulnérabilité sur iOS 7.1.1, 7.1.2, 8.0, 8.1 ainsi que la bêta d'iOS 8.1.1, et sur des terminaux jailbreakés ou non. La vulnérabilité dans iOS réside dans la gestion des certificats des applications et le fait que les certificats ne sont pas vérifiés pendant une mise à jour.

En s'appuyant sur un Bundle Identifier identique, l'application malveillante peut éviter la détection par l'outil de gestion du terminal. Dans la démonstration, la victime est toutefois trompée via un SMS pour un téléchargement d'une soi-disant nouvelle version du jeu Flappy Bird. Un procédé peu habituel qui est de nature suffisante à éveiller des soupçons.

En outre, l'attaque ne peut toucher que les terminaux pouvant installer des applications hors App Store (pour la fausse application). Hormis un appareil jailbreaké, cela concerne le système de provisionning utilisé par les entreprises et développeurs pour le déploiement d'une application.

FireEye dit avoir prévenu Apple de sa trouvaille le 26 juillet. Si FireEye passe à la divulgation publique, c'est parce que la vulnérabilité est dans la nature. WireLurker aurait utilisé une forme limitée de Masque Attack.

" Nous demandons à Apple de fournir des interfaces plus puissantes aux sociétés de sécurité afin de protéger les utilisateurs dans les entreprises de telles attaques avancées ", écrit FireEye.