ZergHelper : une boutique d’apps piratées à télécharger sur l’App Store

Mickaël Bazoge |

Apple a édicté un certain nombre de bonnes pratiques à destination des développeurs qui veulent distribuer leurs applications sur iOS. C’est la fameuse étape de la validation que les dévs connaissent bien, et qui provoquent parfois des crises d’urticaire quand une décision de l’équipe de validation refuse une app pour telle ou telle raison. Il arrive aussi qu’une application passe à travers les mailles du filet.

Parmi ces règles, l’App Store rejette les applications qui peuvent distribuer d’autres applications… Encore faut-il que cette app joue franc jeu, ce qui n’a pas été le cas d’Happy Daily English. Sous couvert de logiciel d’apprentissage d’anglais, cette app était en fait une boutique sur laquelle les utilisateurs pouvaient télécharger gratuitement des applications piratées.

Parmi les raisons pour lesquelles l’App Store a pu être induit en erreur, se trouve le fait qu’Happy Daily English se présente réellement comme une app pour apprendre l’anglais… en dehors des frontières chinoises. Utilisé en Chine, ce logiciel se transforme en vitrine illicite. Dr Jekyll et Mr Hyde en quelque sorte !

Sur le site web officiel de l’application, on trouve un lien qui permet de télécharger le logiciel sur l’App Store.

Palo Alto Networks, qui a découvert le pot aux roses, décrit avec force détails techniques le fonctionnement de cette app, identifiée sous le nom ZergHelper. Elle ne présente pas à proprement parler de problème de sécurité, mais les applications téléchargées par ce biais peuvent se montrer vulnérables et laisser passer des malwares.

Un incroyable écheveau de chausse-trappes pour tromper la vigilance d’Apple a été mis en place par les créateurs de ZergHelper. L’app exploite les failles des certificats d’entreprise (qui sont au cœur des principales attaques contre iOS). Par le jeu de l’ingénierie inverse, les développeurs ont également reproduit certaines fonctions d’Xcode pour générer des certificats de développement personnel (ils servent à signer les apps iOS) depuis les propres serveurs d’Apple.

À gauche, la vitrine « officielle » de l’application. À droite, elle dévoile son vrai visage : une boutique d’apps piratées.

Sous Windows, la vraie-fausse boutique peut demander l’installation d’un clone d’iTunes pour « authentifier » les applications piratées. Il est même possible de s’identifier au sein de cette boutique illégale avec un faux compte Apple ID, fourni par ZergHelper et dont les chercheurs ignorent la provenance.

Pour éviter qu’une mise à jour de l’application (toutes sont visées par l’équipe de l’App Store) ne dévoile le pot aux roses, les auteurs de ZergHelper ont mis au point une routine en Lua qui passe par un framework wax. Particulièrement complexe à analyser, il permet de mettre à jour dynamiquement des applications en contournant la protection de la révision.

L’interface de ZergHelper, qui évoque celle de l’App Store.

Happy Daily English, alias ZergHelper (ou encore XY Helper une fois installé sur un iPhone), exploite toutes les possibilités disponibles pour tromper son monde. Et c’est ce qui rend cette application aussi dangereuse… Palo Alto Networs a prévenu Apple de l’existence de ZergHelper le 19 février ; l’app a été supprimée le lendemain, mais elle était disponible sur l’App Store depuis le 30 octobre 2015 (il existe également une version pour appareils déplombés qu’on se gardera évidemment d’installer).


avatar Nico-1971 | 

C'est un coup du F.B.Aieeeee, c'est sûre ;)

avatar fousfous | 

Un jour faudra vraiment faire sauter toutes les possibilités d'installer les apps de l'extérieur, dont les certificats d'entreprises.

avatar nayals | 

@fousfous :
Les grandes entreprises qui ont des applications à usage interne ne veulent évidemment pas publier celles-ci sur le store. Donc il faudrait trouver une solution moins radicale...

avatar warmac33 | 

@ fousfous
Moi ce qui me gave le plus c'est le droit de vote et la liberté d'expression, faudrait voir à museler tout ça

avatar Domsware | 

@warmac33 :
Hors sujet complet !

avatar Billytyper2 | 

@Domsware :
Pas vraiment, relis le poste de foufous.

avatar Domsware | 

@Billytyper2 :
Lu et relu. Et je ne vois toujours pas des atteintes à la liberté d'expression ou autres.

avatar famousneko | 

@fousfous
Tu perds bcp en flexibilité la quand même...

C'est fascinant n'empêche cette stratégie très sophistiquée. Les dev c'est les ocean's eleven des apps. Ca se trouve ils existent d'autres apps comme ca complètement détourné et dont Apple ne soupçonne pas l'existence

avatar Mickaël Bazoge | 
C'est vrai que c'est difficile de ne pas être épaté par ces développeurs, même s'ils font ça pour les mauvaises raisons.
avatar Orpioo | 

Ils font ça pour leur profit, je ne sais pas si on peut appeler ça des mauvaises raisons.

avatar thebarty | 

@Orpioo :
Ah, et ce n'est pas mauvais pour les devers dont les applis sont piratées ?

avatar J'en_crois Pas_mes yeux | 

@Orpioo & @thebarty
Non ce ne sont pas de "mauvaises raisons"
c'est quoi de "mauvaises" raisons ?
Ce sont des raisons qui ne correspondent pas aux objectifs du sujet.
Ici nous parlerions plus justement de raisons ne correspondant pas à (ta?) (ma?) (notre?) morale.

Mais @Orpioo & @thebarty, nous pinaillons ;-)

avatar marc_os | 

@Orpioo :
Effectivement. Dans un monde où la loi va autoriser les licenciements boursiers faits par des entreprises qui font des bénéfices... :-(
Le profit égoïste est la règle du CAPITALISME où accumuler du capital au détriment des salariés est le moteur.

avatar wildtiger | 

Sont forts les Chinois !!

avatar Domsware | 

C'est fort !
Sans atteindre la protection de Dungeon Master en tout cas ! Les vieux s'en souviendront.

avatar Sokö | 

Quel est le retour sur investissement ?

avatar ovea | 

@thebarty :
Pourquoi, si ce sont les pires (dèv) hâtés de l'app à plis qu'il faut repassées derrière pour qu'elle soit utilisable ?

avatar thebarty | 

@ovea :
Tu fais exprès avec tes posts illisibles ?

avatar Berechit | 

@thebarty :
Je crois qu'il voulait dire "les développeurs"... Son doigt à dû glisser et le correcteur à fait le reste :)

avatar Mathias10 | 

@ovea :
Écris en bon français (c'est à dire sans ton correcteur qui semble te jouer des tours )

avatar Ultranova | 

@Mickael

On parle bien du vol manifeste des achats in-app là, non ?

Ok, je file.

avatar Ken-de-barbie | 

Comme quoi la boutique d' apple n' est pas si inviolable que ça, je ne sait si le comble est que ce soit un labo indépendant de la pomme qui s' en aperçoive ou que pendant 5 mois cette appli est resté sur le store ….

avatar Jean-Jacques Cortes | 

@Domsware
C'est vrai que Dungeon Master était sacrément bien protégé contre la copie pirate. Le seul jeu que je n'ai pas réussi à déplomber.

CONNEXION UTILISATEUR