2864 applications iPhone/iPad intègrent une backdoor !

Par:
fredericmazue

ven, 06/11/2015 - 12:21

Nouveau gros problème de sécurité sur l'Apple Store. Après l'affaire XCodeGhost cet environnement Xcode contrefait qui ajoutait des fonctionnalités aux applications, à l'insu des développeurs, arrive l'affaire iBackDoor.

Mais si les applications 'customisées' par XCodeGhost semblaient avoir une capacité de nuisance limitée, il en va tout autrement avec iBackDoor, comme le nom le suggère.

iBackDoor a été détecté par FireEye.

Le malware iBackDoor est intégré dans MobiSage SDK, édité par la société chinoise AdSage. Pour l'instant on ne sait pas si la présence du malware est du fait de la société, ou si un tiers ait réussi à déposer un SDK contrefait sur ses serveurs. Le MobiSage SDK permet normalement de se connecter aux serveurs de publicités d'AdSage pour y récupérer des annonces.

Quant à lui, iBackDoor effectue des opérations beaucoup moins licites :

  • Capture audio et vidéo à l'insu de l'utilisateur
  • Surveillance de la géolocalisation du terminal
  • Modification des fichiers de données de l'application infectée
  • Accès au trousseau de l'application (par exemple pour récupérer un mot de passe)
  • Envoi de données cryptées vers des serveurs
  • Injections d'URL pour lancer d'autres applications sur le terminal
  • Téléchargement d'applications en dehors de l'App Store, et donc non validées par Apple.

Le billet de FireEye donne tous les détails techniques sur la façon dont ces 'actions additionnelles' sont réalisées.

FireEye a détecté 17 versions différentes infectées du MobiSage SDK, les versions allant de 5.3.3 à 6.4.4. FireEye a également recensé sur l'App Store 2846 applications potentiellement 'backdorisées'. Parmi ces applications, FireEye a observé 900 tentatives de contact d'un serveur AdSage pour récupérer du JavaScript qui active les backdoors.

FireEye a communiqué la liste des 2846 applications à Apple, qui les a retirées de son App Store.