AceDeceiver : le virus sur iPhone qui se joue des DRM d’iTunes

Par Samir Azzemou

Partager

  • Facebook
  • Twitter
  • LinkedIn
  • Viadeo
  • RSS
apple

Des applications malicieuses ont à nouveau infecté l’App Store. Elles s'installent sur n'importe quel iPhone, même si celui-ci n’est pas jailbreaké. L'attaque ne cible pour l'instant que les usagers chinois. Mais elle pourrait s'étendre facilement.

Jusqu’à présent, la très grande majorité des menaces (voire toutes) sur iOS liées à un code malveillant concernait en premier lieu les utilisateurs de smartphones et de tablettes jailbreakées. Car la procédure désactivait certaines protections (notamment les DRM) afin d’installer sur une plate-forme des applications qui n’étaient pas censées y être. En désactivant certaines sécurités et certaines fonctions du système d’exploitation, iOS devenait plus fragile et plus facile à tromper.

Apple iPhone 6S
Potentiellement, tous les iPhone, même sans jailbreak, sont des cibles d'AceDeceiver

Un virus qui attaque tous les iOS

Les utilisateurs qui conservaient intact les protections de leurs smartphones n’étaient donc jusqu’ici pas vraiment concernés. Cependant, une nouvelle menace est apparue récemment. Elle a été découverte par Palo Alto Networks qui l’a appelée AceDeceiver et elle s’attaque au lien entre iTunes et iOS. La technique utilisée par le malware, qui utilise donc un PC et le logiciel iTunes, est assez classique et rappelle celle utilisée justement pour jailbreaker un smartphone ou une tablette. Elle concerne donc uniquement les utilisateurs qui installent leurs applications à l’aide d’un PC (et non directement depuis l’App Store de l’iPhone).

Comment cela se déroule-t-il ? Habituellement, quand vous vous rendez sur l’App Store avec iTunes sur un PC, le logiciel Apple gère les droits d’accès et d’usage (les DRM) : vous achetez une application, iTunes débloque le DRM et autorise l’installation de l’application sur votre terminal sous iOS. Pour contourner cela, le pirate achète réellement une application et intercepte les codes d’autorisations entre l’App Store et iTunes.

Trois applications détectées l'année dernière

Le pirate injecte ensuite un code malveillant dans l’application téléchargée et la soumet à validation sur l’App Store. Entre temps, il a développé un logiciel pirate (l’un d’entre eux s’appelle Aisi Helper) qui simule le comportement d’iTunes : il se connecte à l’App Store pour télécharger des applications et installe ces dernières sur iOS (en réutilisant le code d’autorisation préalable pour contourner le DRM). Avec la promesse d’installer des applications sans avoir à les payer...

Il faudra bien sûr au préalable que le pirate intègre ces applications gratuites et malicieuses sur l’App Store. Palo Alto Networks en a déniché trois qui utilisent le code malveillant AceDeceiver sur l’App Store officiel entre juillet 2015 et février 2016. Elles ont été depuis supprimées par Apple pour éviter de nouvelles infections. Cependant, tous les usagers qui ont téléchargé l’archive sur leur PC restent des victimes actives.

Cette attaque est surprenante, car elle ne nécessite aucun jailbreak pour infecter un smartphone ou une tablette sous iOS. Elle cible aujourd’hui les utilisateurs chinois (comme XcodeGhost), mais elle pourrait potentiellement s’étendre partout dans le monde. Elle est circonscrite uniquement aux utilisateurs qui installent des applications à partir de leur PC et qui se laissent séduire par des promesses de gratuité des applications. Car, évidemment, il y a souvent une part d’action inappropriée de la part de la victime dans le processus.

Partagez cet article

  • LinkedIn
comments powered by Disqus

Touchez pour ajouter le site à vos favoris ou sur votre écran d’accueil.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies à des fins de mesure d’audience, pour vous offrir des fonctionnalités relatives aux médias sociaux ainsi que des publicités ciblées et des services adaptés à vos centres d'intérêts. Pour en savoir plus.

Fermer