Passer au contenu

Des portes dérobées découvertes dans presque 3 000 applis iOS

Enregistrement audio, prise de captures d’écran, géolocalisation, accès aux mots de passe… Une curieuse librairie publicitaire rend les applis de l’App Store vulnérables au cyberespionnage.

Pas de répit pour Apple. Après XCodeGhost, le malware qui infecté plus de 4.000 applis sur l’App Store, voici venu iBackDoor, une curieuse porte dérobée que les analystes de FireEye ont découvert dans 2.846 applis iOS. Elle se situe au niveau d’une librairie baptisée mobiSage SDK, éditée par la société chinoise adSage. Elle permet de contacter des serveurs publicitaires et récupérer des pubs pour les applis. Jusque-là, rien d’anormal.

Mais en regardant de plus près, FireEye a découvert des fonctionnalités très intrusives dans cette librairie: enregistrement audio, prise de captures d’écran, géolocalisation, accès aux mots de passe applicatifs, etc. De telles fonctionnalités peuvent être légitimes, à condition que l’utilisateur soit prévenu et donne son accord. Mais dans le cas de mobiSage, elles peuvent être activées en douce, sans que l’utilisateur ne le remarque, au travers d’un simple code Javascript que l’appli télécharge depuis l’un des serveurs contactés. Bref, cette librairie est potentiellement un superbe outil d’espionnage.

XCodeGhost bouge toujours

Toutefois, FireEye n’a pas remarqué, à ce jour, une quelconque exploitation de ces fonctionnalités. La société spécialisée ne sait pas non plus si cette porte dérobée a été intégrée par adSage directement ou par un tiers. Elle remarque, néanmoins, qu’elle ne figure plus dans la dernière version de cette librairie. Par ailleurs, la page web qui présente ce SDK n’est actuellement plus disponible (erreur 404).

Contacté par FireEye le 21 octobre dernier, Apple a supprimé depuis une grande partie des applis concernées. Hier, selon SC Magazine, il en restait encore 400. Comme dans le cas de XCodeGhost, cette histoire montre les limites du contrôle effectué par Apple avant la publication d’une appli. Le cas XCodeGhost, d’ailleurs, n’est pas encore terminé. Il y a quelques jours, FireEye a détecté une nouvelle variante capable de contourner un dispositif de sécurité que la firme de Cupertino a ajouté dans sa dernière version d’iOS. Et le botnet lié à ce malware est toujours actif en partie.

Sources:

Note de blog FireEye sur iBackDoor
Note de blog FireEye sur XcodeGhost

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn