03-02-2016, 07:58
<r><GLOW glow="red"><s>[glow=red]</s>Une librairie open source permet aux développeurs de diffuser des mises à jour d’applications mobiles en court-circuitant le processus de vérification d’Apple. Une bonne idée, mais une pratique plutôt risquée.<e>[/glow]</e></GLOW><br/>
La réputation d'Apple et de son App Store en matière de sécurité n'est plus à faire. Pourtant, les analystes de FireEye viennent de sonner l’alerte sur une technique qui permet de contourner les procédures de vérification draconiennes de la firme de Cupertino et de télécharger du code arbitraire dans une application. L'idée est de s'appuyer sur JSPatch, une librairie tierce qui permet à une application iOS de télécharger du code JavaScript depuis le Web, de le transformer un code Objective-C – le langage de programmation historique d'Apple – puis de l'injecter à la volée dans l'application en question.<br/>
Le code de JSPatch est disponible en open source sur GitHub. Il a été créé par un informaticien chinois qui se fait appeler « band590 » et dont la motivation est assez légitime. Sa librairie permet en effet d’apporter des mises à jour urgentes aux applications sans passer par la procédure de vérification d’Apple qui nécessite souvent plus d’une semaine. Le problème, évidemment, c’est que JSPatch peut être utilisé de façon malveillante.<br/>
<br/>
Un pirate pourrait ainsi créer une application en apparence inoffensive qui, une fois installée sur un terminal, téléchargerait un malware directement depuis Internet. L’utilisateur n'y verrait que du feu. Autre méthode d’attaque : un pirate pourrait intercepter un code JavaScript inoffensif et le remplacer par une version malveillante, sans que l’utilisateur ou le développeur n'aient le moindre doute.<br/>
FireEye donne quelques exemples d’exploitation malicieuse, comme l’accès au répertoire des photos, au presse-papier (très utile pour siphonner les mots de passe) ou encore aux paramètres systèmes de bas niveau.<br/>
<br/>
Dans ce dernier cas, FireEye utilise en effet les interfaces de programmation dites « privées » réservées à Apple. Une application qui en ferait usage serait automatiquement bloquée au niveau de l’App Store… sauf évidemment si le code n’est injecté que par la suite avec JSPatch.<br/>
<br/>
Mais il ne faut pas dramatiser non plus cette trouvaille. Selon FireEye, il n’existe pour l’instant que 1220 applications qui utilisent cette librairie. C’est une goutte d’eau dans l’océan de l’App Store et cela concerne avant tout avec des applications chinoises. Pour l’instant, le problème est donc marginal, mais il pourrait faire tache d’huile. <E>:twisted:</E> <E>:twisted:</E> <E>:twisted:</E> #ANDROIDPOWER <E>:twisted:</E> <E>:twisted:</E> <E>:twisted:</E></r>
La réputation d'Apple et de son App Store en matière de sécurité n'est plus à faire. Pourtant, les analystes de FireEye viennent de sonner l’alerte sur une technique qui permet de contourner les procédures de vérification draconiennes de la firme de Cupertino et de télécharger du code arbitraire dans une application. L'idée est de s'appuyer sur JSPatch, une librairie tierce qui permet à une application iOS de télécharger du code JavaScript depuis le Web, de le transformer un code Objective-C – le langage de programmation historique d'Apple – puis de l'injecter à la volée dans l'application en question.<br/>
Le code de JSPatch est disponible en open source sur GitHub. Il a été créé par un informaticien chinois qui se fait appeler « band590 » et dont la motivation est assez légitime. Sa librairie permet en effet d’apporter des mises à jour urgentes aux applications sans passer par la procédure de vérification d’Apple qui nécessite souvent plus d’une semaine. Le problème, évidemment, c’est que JSPatch peut être utilisé de façon malveillante.<br/>
<br/>
Un pirate pourrait ainsi créer une application en apparence inoffensive qui, une fois installée sur un terminal, téléchargerait un malware directement depuis Internet. L’utilisateur n'y verrait que du feu. Autre méthode d’attaque : un pirate pourrait intercepter un code JavaScript inoffensif et le remplacer par une version malveillante, sans que l’utilisateur ou le développeur n'aient le moindre doute.<br/>
FireEye donne quelques exemples d’exploitation malicieuse, comme l’accès au répertoire des photos, au presse-papier (très utile pour siphonner les mots de passe) ou encore aux paramètres systèmes de bas niveau.<br/>
<br/>
Dans ce dernier cas, FireEye utilise en effet les interfaces de programmation dites « privées » réservées à Apple. Une application qui en ferait usage serait automatiquement bloquée au niveau de l’App Store… sauf évidemment si le code n’est injecté que par la suite avec JSPatch.<br/>
<br/>
Mais il ne faut pas dramatiser non plus cette trouvaille. Selon FireEye, il n’existe pour l’instant que 1220 applications qui utilisent cette librairie. C’est une goutte d’eau dans l’océan de l’App Store et cela concerne avant tout avec des applications chinoises. Pour l’instant, le problème est donc marginal, mais il pourrait faire tache d’huile. <E>:twisted:</E> <E>:twisted:</E> <E>:twisted:</E> #ANDROIDPOWER <E>:twisted:</E> <E>:twisted:</E> <E>:twisted:</E></r>
<t></t>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)