La validation de l'App Store jugée laxiste sur la sécurité

Stéphane Moussie |

Des chercheurs de Georgia Tech, une université renommée des États-Unis, sont parvenus à faire valider une application qui contenait du code malicieux, rapporte le MIT Technology Review.


Photo Pieter Ouwerkerk CC

Pour passer le contrôle effectué par Apple, le malware, surnommé Jekyll, a été fragmenté dans différentes parties de l'application. Pour qu'il puisse opérer, le code de Jekyll a été ensuite réassemblé — aucun détail n'est donné sur cette opération. L'application, en apparence un simple lecteur d'actus, était alors capable de poster des tweets, d'envoyer des emails et des SMS, de prendre des photos, de voler des données personnelles et d'attaquer d'autres apps, entre autres.

L'app contenant Jekyll n'a été disponible que quelques minutes au mois de mars, le temps pour les chercheurs de l'installer et de mener leurs tests. Grâce à un outil de suivi, ils se sont rendu compte que l'équipe de validation de l'App Store n'avait passé que quelques secondes sur l'app avant de lui donner son feu vert.

« Le message que nous voulons faire passer maintenant, c'est que le processus de validation d'Apple consiste surtout en une analyse statique de l'application, ce qui n'est pas suffisant, car les systèmes dynamiques ne peuvent pas être repérés facilement », a déclaré Long Lu, un chercheur ayant participé à l'expérience.

Tom Neumayr, un porte-parole d'Apple, a indiqué que l'entreprise avait apporté des modifications au système pour régler ce problème, sans plus de précision. iOS 6.1.3, disponible mi-mars, intègre des corrections de sécurité qui sont peut-être liées à cette découverte. Tom Neumayr n'a pas souhaité s'exprimer sur le processus de validation de l'App Store.

avatar RaZieL54 | 
Il semble bien que la mesure qui permet de dire que l'app a ete testée que "quelques secondes" soit en fait a comprendre: le test de connexion sur l'internet sans filtre a ete activé pendant quelques secondes. On sait que le processus de test d'Apple comprend une phase d'analyse par des logiciels d'audit de code, et au moins un test en quarantaine dans "un bac a sable" L'application en question a nécessité des techiques complexes et un assemblage modulaire particulièrement vicieux pour passer a travers la validation, et il a ete programmé pour échapper aux softs d'audit. C'est tres loin de la simplicite des troyens qui pullulent sur les autres plateformes. En l'occurrence il aurait fallu un test manuel extensif durant plusieurs heures pour démasquer le logiciel... Cela prouve que si les app store d'Apple sont efficaces, Apple doit encore renforcer les controles et consacrer plus de temps pour analyser les app soumises...
avatar eipem | 
@Jean-Luc Droid : Y a rien à seriner, c'est un fait. Y a plus de microbes dans un lit que dans une poubelle. Ça veut pas dire qu'il n'y en a pas dans un lit. T'irais dormir dans une poubelle ?
avatar tigre2010 | 
Attention développeur : risposte d'Apple : 6 mois de validation (ça va faire mal )
avatar voetemm | 
Une fois trop dur, une fois trop laxiste..

CONNEXION UTILISATEUR