Ouvrir le menu principal

iGeneration

Recherche

AceDeceiver, un nouveau mécanisme d'infection sur iOS

Mickaël Bazoge

jeudi 17 mars 2016 à 10:21 • 30

iOS

Les pendards ne manquent jamais d’imagination quand il s’agit d’infecter un iPhone. La dernière attaque en date, qui touche le marché chinois, est dans son genre assez redoutable. AceDeceiver, repéré par Palo Alto Research, peut gangrener un appareil iOS non jailbreaké et sans certificat d’entreprise (une technique classique), en utilisant une attaque "man in the middle" sophistiquée.

Le site web d’Aisi Helper — Cliquer pour agrandir

AceDeceiver exploite un mécanisme lié au DRM FairPlay qu’Apple injecte dans chacune des applications distribuées sur l’App Store. Cette technique, baptisée FairPlay Man in the middle (FairPlay MITM), est utilisée depuis 2013 et elle permet d’installer des applications piratées… Et depuis peu, elle distribue aussi des malwares !

FairPlay MITM implique l’installation d’apps depuis un PC, au travers d’un logiciel tiers, Aisi Helper, qui contourne iTunes. Il propose des services comme la restauration d’iOS, le jailbreak, la sauvegarde des données de l’appareil, la gestion de flotte ou encore le « nettoyage » du système.

Mais la principale fonction d’Aisi Helper est de « tromper » l’iPhone en lui faisant croire que telle application a été achetée et téléchargée sur l’App Store, et qu’il peut l’installer. Le coupe-jarret a en fait récupéré le code d’autorisation qui permet à une application de s’installer sur un terminal iOS. L’utilisateur peut alors récupérer des apps qu’il n’a jamais acquises légalement, tandis qu’un développeur mal intentionné peut par ce biais déployer des logiciels infectés s’installant sur l’iPhone sans que l’utilisateur en ait conscience.

Cliquer pour agrandir

D’après le décompte de Palo Alto Research, la « famille » AceDeceiver comprend trois applications iOS infectées — maquillées en fournisseurs de fonds d’écran — qui ont été mises en ligne sur l’App Store officiel entre juillet 2015 et février 2016. Apple a donné son feu vert à ces trois apps au moins sept fois : trois fois pour les valider, quatre fois pour autoriser des mises à jour.

Une des trois applications infectées — Cliquer pour agrandir

Comment est-ce possible ? Les brigands ont utilisé une technique similaire à celle de ZergHelper, qui a récemment défrayé la chronique (lire : ZergHelper : une boutique d’apps piratées à télécharger sur l’App Store) : le comportement malveillant ne se déclenche que sur certains marchés, en l’occurrence le chinois. Ces trois apps offrent un accès vers un App Store alternatif contrôlé par les brigands, sur lequel on peut télécharger des apps et des jeux craqués. Cette boutique encourage évidemment les utilisateurs à entrer leurs identifiant et mot de passe Apple.

En dehors de la Chine, voici à quoi ressemble une des applications malveillantes.

Apple a supprimé ces applications lorsque les chercheurs en sécurité ont prévenu l’entreprise le mois dernier, mais c’est trop tard : il a suffi que ces applications soient passées sans encombre sous les fourches caudines d’Apple au moins une fois pour qu’elles puissent continuer à se déployer ensuite. Les malandrins n’ont besoin que d’une copie du code d’autorisation fourni par Apple, la présence sur l’App Store étant secondaire. Une fois ce code en leur possession, les apps infectées peuvent continuer à s’installer via Aisi Helper.

La boutique alternative sur iOS, et l’« invitation » à entrer ses identifiant et mot de passe — Cliquer pour agrandir

AceDeceiver nécessite donc l’installation d’un client tiers sur son PC, ce qui éveille immanquablement le soupçon pour les utilisateurs aguerris. Mais face à des possesseurs d’iPhone qui ne connaissent pas forcément le mode de fonctionnement d’iTunes, cet obstacle peut être levé sans trop de difficulté.

Les chercheurs en sécurité rappellent à plusieurs reprises qu’AceDeceiver touche les utilisateurs chinois, mais le mécanisme pourrait un jour frapper d’autres marchés selon les intérêts des canailles responsables des malwares. Et Apple pourrait rencontrer quelques difficultés pour bloquer ce type d’attaque — le plus simple pour se protéger étant de toutes manières d’en passer uniquement par les outils officiels, iTunes et l’App Store.

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine

Sortie de veille : télé Apple et iPhone 17 ultra-fin, des rumeurs folles ou crédibles ?

23/11/2024 à 11:51


Black Friday 2024 : Jusqu’à -50 % sur UPDF, l’application incontournable pour Mac, iPhone et iPad 📍

23/11/2024 à 10:23


Promo : iPhone 13 à 519 €, iPhone 14 à 594 €, iPhone 15 à 685 €

23/11/2024 à 08:31

• 14


Black Friday : sélection de chargeurs UGREEN à partir de 25 €

22/11/2024 à 22:45

• 1


Canal+ active la 4K HDR sur iPhone et iPad

22/11/2024 à 21:45

• 23


Pour éviter la taxe spéciale Chine, Apple veut augmenter sa production en Inde

22/11/2024 à 21:15

• 16


Les meilleures promos du Black Friday : AirPods Pro 2, iPad 10, serrure connectée…

22/11/2024 à 18:52


Le régulateur britannique estime qu’Apple freine l'innovation dans le domaine des navigateurs mobile

22/11/2024 à 18:00

• 41


L’Europe clôture son enquête sur les règles de l’App Store liées à la vente de livres électroniques

22/11/2024 à 16:00

• 0


Android : Google planche aussi sur une fonction pour réduire le mal des transports

22/11/2024 à 12:54

• 9


Protégez votre Mac pour seulement 2,03 €/mois avec CyberGhost VPN : l'offre Black Friday à ne pas manquer ! 📍

22/11/2024 à 11:52


Black Friday : iPad 10 à 359 €, iPad Air M1 5G à 550 € ou moins avec la carte Fnac+

22/11/2024 à 11:45

• 5


Les enceintes et barres de son Sonos jusqu’à - 40 % pendant le Black Friday

22/11/2024 à 10:53

• 16


Le vrai nouveau Siri, celui alimenté par une IA générative, ne sortirait pas avant… 2026

22/11/2024 à 07:57

• 63


Une sonnette connectée qui diffuse vos images aux quatre vents

21/11/2024 à 22:00

• 23


Google abandonne la Pixel Tablet 2... ou les tablettes tout court ?

21/11/2024 à 21:00

• 6