AceDeceiver, un nouveau mécanisme d'infection sur iOS

Mickaël Bazoge | | 10:21 |  30

Les pendards ne manquent jamais d’imagination quand il s’agit d’infecter un iPhone. La dernière attaque en date, qui touche le marché chinois, est dans son genre assez redoutable. AceDeceiver, repéré par Palo Alto Research, peut gangrener un appareil iOS non jailbreaké et sans certificat d’entreprise (une technique classique), en utilisant une attaque "man in the middle" sophistiquée.

Le site web d’Aisi Helper — Cliquer pour agrandir

AceDeceiver exploite un mécanisme lié au DRM FairPlay qu’Apple injecte dans chacune des applications distribuées sur l’App Store. Cette technique, baptisée FairPlay Man in the middle (FairPlay MITM), est utilisée depuis 2013 et elle permet d’installer des applications piratées… Et depuis peu, elle distribue aussi des malwares !

FairPlay MITM implique l’installation d’apps depuis un PC, au travers d’un logiciel tiers, Aisi Helper, qui contourne iTunes. Il propose des services comme la restauration d’iOS, le jailbreak, la sauvegarde des données de l’appareil, la gestion de flotte ou encore le « nettoyage » du système.

Mais la principale fonction d’Aisi Helper est de « tromper » l’iPhone en lui faisant croire que telle application a été achetée et téléchargée sur l’App Store, et qu’il peut l’installer. Le coupe-jarret a en fait récupéré le code d’autorisation qui permet à une application de s’installer sur un terminal iOS. L’utilisateur peut alors récupérer des apps qu’il n’a jamais acquises légalement, tandis qu’un développeur mal intentionné peut par ce biais déployer des logiciels infectés s’installant sur l’iPhone sans que l’utilisateur en ait conscience.

Cliquer pour agrandir

D’après le décompte de Palo Alto Research, la « famille » AceDeceiver comprend trois applications iOS infectées — maquillées en fournisseurs de fonds d’écran — qui ont été mises en ligne sur l’App Store officiel entre juillet 2015 et février 2016. Apple a donné son feu vert à ces trois apps au moins sept fois : trois fois pour les valider, quatre fois pour autoriser des mises à jour.

Une des trois applications infectées — Cliquer pour agrandir

Comment est-ce possible ? Les brigands ont utilisé une technique similaire à celle de ZergHelper, qui a récemment défrayé la chronique (lire : ZergHelper : une boutique d’apps piratées à télécharger sur l’App Store) : le comportement malveillant ne se déclenche que sur certains marchés, en l’occurrence le chinois. Ces trois apps offrent un accès vers un App Store alternatif contrôlé par les brigands, sur lequel on peut télécharger des apps et des jeux craqués. Cette boutique encourage évidemment les utilisateurs à entrer leurs identifiant et mot de passe Apple.

En dehors de la Chine, voici à quoi ressemble une des applications malveillantes.

Apple a supprimé ces applications lorsque les chercheurs en sécurité ont prévenu l’entreprise le mois dernier, mais c’est trop tard : il a suffi que ces applications soient passées sans encombre sous les fourches caudines d’Apple au moins une fois pour qu’elles puissent continuer à se déployer ensuite. Les malandrins n’ont besoin que d’une copie du code d’autorisation fourni par Apple, la présence sur l’App Store étant secondaire. Une fois ce code en leur possession, les apps infectées peuvent continuer à s’installer via Aisi Helper.

La boutique alternative sur iOS, et l’« invitation » à entrer ses identifiant et mot de passe — Cliquer pour agrandir

AceDeceiver nécessite donc l’installation d’un client tiers sur son PC, ce qui éveille immanquablement le soupçon pour les utilisateurs aguerris. Mais face à des possesseurs d’iPhone qui ne connaissent pas forcément le mode de fonctionnement d’iTunes, cet obstacle peut être levé sans trop de difficulté.

Les chercheurs en sécurité rappellent à plusieurs reprises qu’AceDeceiver touche les utilisateurs chinois, mais le mécanisme pourrait un jour frapper d’autres marchés selon les intérêts des canailles responsables des malwares. Et Apple pourrait rencontrer quelques difficultés pour bloquer ce type d’attaque — le plus simple pour se protéger étant de toutes manières d’en passer uniquement par les outils officiels, iTunes et l’App Store.

Catégorie : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


30 Commentaires

avatar nova313 17/03/2016 - 10:28via iGeneration pour iOS

Je sens qu'avec ce déclenchement du changement de fonctionnement de l'app en fonction du pays, va obligé Apple a vérifié l'app sur tous les stores, et que les délais de validation vont considérablement s'allonger.

avatar C1rc3@0rc 17/03/2016 - 15:50

A part l'utilisation assez ancienne du DRM, il s'agit d'une tres classique utilisation d'une attaque MiM. De plus il faut passer par un PC surlequel on installe au prealable une application douteuse qui se subsitue a iTunes...

En gros cela concerne les gens qui piratent des applications et qui ne jailbreakent pas leur iPhone.
Ce concerne donc une tres petite minorité.

Apple n'a qu'a bloquer la communication avec tout ce qui n'est pas iTunes et le probleme est regle.

Franchement a part l'exploitation de la DRM, qui on le voit pose un grave probleme de securite en plus de tous les autres, il s'agit la d'une approche aussi primitive qui compliqué pour une cible tres restreinte...

avatar Billytyper2 17/03/2016 - 10:32via iGeneration pour iOS

Si on a une pomme et que l'on n'y connaît pas grand chose, le mieux c'est de rester dans les clous Apple...c'est plus sécuritaire .

avatar nicoplanet 17/03/2016 - 10:37via iGeneration pour iOS

Sacrés détrousseurs.....

avatar r e m y 17/03/2016 - 11:04via iGeneration pour iOS

Ah les gredins!!! les ladres!!!

avatar bompi 17/03/2016 - 10:52

Faut quand même que l'utilisateur y mette du sien et se complique un peu la vie pour se faire couillonner.

avatar Sokö 17/03/2016 - 10:57via iGeneration pour iOS

Les chenapans.

avatar iVador 17/03/2016 - 10:58via iGeneration pour iOS

Sacres coupe-jarrets !

avatar blazouf 17/03/2016 - 11:10

De vrais rufians bien retords ces margoulins ! :D

avatar False 17/03/2016 - 11:19

oh les coquins de maquereaux !

avatar Ast2001 17/03/2016 - 11:28

Que prévoit-on pour contrer ces scélérats ?

avatar blazouf 17/03/2016 - 11:31

Rhhaaa.. Les vils maraud ! Les paltoquets de bas étage ! j'enrage !

avatar BigMonster 17/03/2016 - 11:46

Grrr, les sacripants, les truands, les crapules, les filous, les canailles, les bandits, les forbans, les scélérats, les fourbes, les perfides, les gredins, les fripons…

avatar powergeek 17/03/2016 - 12:07via iGeneration pour iOS

Saperlipopette !

avatar Kensei68 17/03/2016 - 12:17

Bande de vils flibustiers !

avatar PierreRMX 17/03/2016 - 12:22via iGeneration pour iOS

On se croirait dans une pièce de Molière ^^

avatar françois bayrou 17/03/2016 - 12:28

"pendards" !! j'adooore !

avatar bugman 17/03/2016 - 13:42via iGeneration pour iOS

L'article où l'on sort tous Antidote ! :)

avatar lamainfroide 17/03/2016 - 13:58

Pour "pendards" j'applaudis des deux mains.
Par contre, "brigands" deux fois dans le même paragraphe...
Quelle déception.

avatar inumerix 17/03/2016 - 14:10via iGeneration pour iOS

Ah les margoulins !
Personne l'a dit celui là.

avatar inumerix 17/03/2016 - 14:11via iGeneration pour iOS

Ah si désolé.

avatar bugman 17/03/2016 - 14:18via iGeneration pour iOS

Petits canailloux !

avatar scanmb 17/03/2016 - 14:51via iGeneration pour iOS

Bachis bouzouks !!!

avatar scanmb 17/03/2016 - 14:51via iGeneration pour iOS

Marins d'eau douce !!!

avatar scanmb 17/03/2016 - 14:55via iGeneration pour iOS

Sapajous que ceux-là !

avatar BigMonster 17/03/2016 - 15:52

Sercopithèques ! Cloportes ! Bougres d'olibrius ! Scolopendres ! Gibier de potence !
Troglodytes ! Jocrisses ! Moules à gaufres ! Ectoplasmes !

Et… j'en n'ai plus d'autres, mille millards de mille sabords de tonnerre de Brest !
Que le grand cric me croque…

avatar Berechit 17/03/2016 - 18:55via iGeneration pour iOS

@BigMonster :
Et bachi-bouzouk ???
Antidote ne sert à rien lorsque la passion tintinopihile vient compléter le vocabulaire de notre chroniqueur !

avatar BigMonster 18/03/2016 - 09:22

@Berechit

Bin oui, bien sûr, mais déjà cité, tout simplement (3 posts + ô)…

avatar lecapotar 17/03/2016 - 21:26

Nom de Dieu de bordel de putes à cul, faut pas se faire prendre pour un chinois par ces célestes !

avatar Ultranova 20/03/2016 - 10:31

Ah, les Faquins !