Des chercheurs de Georgia Tech, une université renommée des États-Unis, sont parvenus à faire valider une application qui contenait du code malicieux, rapporte le MIT Technology Review.

Photo Pieter Ouwerkerk CC

Pour passer le contrôle effectué par Apple, le malware, surnommé Jekyll, a été fragmenté dans différentes parties de l'application. Pour qu'il puisse opérer, le code de Jekyll a été ensuite réassemblé — aucun détail n'est donné sur cette opération. L'application, en apparence un simple lecteur d'actus, était alors capable de poster des tweets, d'envoyer des emails et des SMS, de prendre des photos, de voler des données personnelles et d'attaquer d'autres apps, entre autres.

L'app contenant Jekyll n'a été disponible que quelques minutes au mois de mars, le temps pour les chercheurs de l'installer et de mener leurs tests. Grâce à un outil de suivi, ils se sont rendu compte que l'équipe de validation de l'App Store n'avait passé que quelques secondes sur l'app avant de lui donner son feu vert.

« Le message que nous voulons faire passer maintenant, c'est que le processus de validation d'Apple consiste surtout en une analyse statique de l'application, ce qui n'est pas suffisant, car les systèmes dynamiques ne peuvent pas être repérés facilement », a déclaré Long Lu, un chercheur ayant participé à l'expérience.

Tom Neumayr, un porte-parole d'Apple, a indiqué que l'entreprise avait apporté des modifications au système pour régler ce problème, sans plus de précision. iOS 6.1.3, disponible mi-mars, intègre des corrections de sécurité qui sont peut-être liées à cette découverte. Tom Neumayr n'a pas souhaité s'exprimer sur le processus de validation de l'App Store.