Des arnaqueurs abusent de TestFlight pour diffuser des malwares

Félix Cattafesta |

Si iOS est bien armé pour protéger ses utilisateurs, les malandrins en tout genre redoublent d'ingéniosité quand il s'agit de piéger les étourdis. De nouvelles techniques pour attirer les plus crédules ont été détectés récemment par l'entreprise de cybersécurité Sophos. Les pirates agissent en dehors de la zone surveillée qu'est l'App Store, et se basent sur des méthodes d'ingénierie sociale pour pousser l'utilisateur à installer de fausses applications.

Les pirates incitent à télécharger TestFlight, puis leur application.

TestFlight est une application d'Apple qui permet aux développeurs de distribuer des bêtas de leurs apps aux testeurs. Si elle est pratique et accessible, elle permet de diffuser des apps dont certaines versions ne sont pas du tout vérifiées par Apple. Des pirates ont donc trouvé comment abuser de ce système : ils développent une app frauduleuse et la diffusent par le biais de TestFlight, en faisant appel à des services tiers qui leur permettent de contourner la validation d'Apple, étape indispensable pour générer des liens publics vers TestFlight.

Sophos a par exemple repéré une fausse version de BTCBOX, une application japonaise d'échange de cryptomonnaies. Plusieurs autres applications se faisant passer pour des entreprises du même style ont été remontées. Les sites sur lesquels sont hébergées ses apps reprenent le look des sites officiels (au niveau du design et de l’URL) afin de mieux convaincre les utilisateurs distraits de télécharger TestFlight, puis leur application vérolée.

Ces liens TestFlight offrent plusieurs avantages aux pirates. Le téléchargement du malware repose en partie sur une app officielle d'Apple, ce qui inspire confiance à ceux qui ne s’y connaissent pas trop. Ils n'ont pas à gérer la distribution, et il est facilement possible d'ouvrir un nouveau compte si jamais le malware se fait signaler. Sophos estime également que les processus de vérification de TestFlight sont moins rigoureux que ceux de l'App Store.

Un lien de téléchargement sur un faux App Store. En cliquant dessus, l'utilisateur installe un Clip web qui va apparaitre sur son écran d'accueil.

L'entreprise a également repéré une autre arnaque : l'utilisation de Clips web, à savoir des liens web directs qui prennent la forme d'une application classique sur l'écran d'accueil d'iOS. Dans le cas relevé par Sophos, l'utilisateur navigue sur un site avant d'être redirigé sur une fausse page de l'App Store (qui en reprend le design). En cliquant sur le bouton « Obtenir », un lien Clip web est ajouté sur son écran d'accueil. S'il appuie dessus, l'utilisateur sera envoyé vers un site de phishing via Safari qui reprend le style officiel de l'application copiée. On peut se dire que la technique est grosse, mais la proximité entre les icônes des Clips web et des véritables apps peut porter à confusion les néophytes.


avatar fousfous | 

Je préfère pas imaginer le carnage si on laisse n'importe qui pouvoir télécharger des app iOS sur le web sans même passer par ce genre de techniques...

avatar MarcMame | 

@fousfous

"Je préfère pas imaginer le carnage si on laisse n'importe qui pouvoir télécharger des app iOS sur le web sans même passer par ce genre de techniques..."
———
Un peu comme le carnage macOS ? Ou plus ? Ou moins ?

avatar Brice21 | 

@MarcMame

"Un peu comme le carnage macOS ? Ou plus ? Ou moins ?"

Il y a 10 fois plus d’utilisateur d’iPhone que d’utilisateurs de Mac. Les utilisateurs d’ordinateurs sont plus éduqué à l’informatique et ses risques que les utilisateurs de smartphones. Donc pour répondre à ta question, ouvrir au side loading sur iPhone ça va être un carnage bien plus grand, incommensurablement plus grand, que sur MacOS.

avatar r e m y | 

Que doit-on en déduire? Que les personnes un tant soit peu éduquées achètent un smartphone Android, expliquant ainsi qu'on n'entende jamais parler du moindre carnage chez ces centaines de millions d'utilisateurs? Ou que tous les utilisateurs d'iPhone sont des neuneus? 🤔

avatar Brice21 | 

@r e m y

Les usages sur iPhone ne sont pas les meme que sur Android. On observe plus d’usage d’application de gestion de finances et de données de santé que sur Android ou la grande majorité des utilisateurs n’utilisent que 2 ou 3 apps et très peu utilisent des apps de gestion de finances ou de santé.

Ceci provient d’études réalisées pour nos clients lors du développement d’app bancaires et médicales.

En 2019 aux USA, moins de 0,8% des utilisateurs Android faisaient du trading, de la gestion de portfolios, des achats de fonds, de cryptos ou d’autres produits structurés sur leur mobile. Sur iPhone on était déjà à 11% (en forte croissance - ça doit être plus après 2 ans de Covid).

J’ai plus l’étude sous la main pour les données de santé mais c’était du même acabit.

En gros les utilisateurs Android sont en meilleure santé mais plus pauvre que les utilisateurs iOS ;-)

Si des hackers parviennent à sortir de la sandbox iOS (tout est possible), les risques que va poser le sideloading sont immenses pour certaines apps. Des gens vont se retrouver ruinés pour une app de coussin péteur. On va bien rigoler…

Sous Android pour vider les comptes de pigeon il faut déjà arriver à cibler les victimes potentielles (8 pour 1000), ce qui complique la tâche des escrocs.

avatar MarcMame | 

@Brice21

"Il y a 10 fois plus d’utilisateur d’iPhone que d’utilisateurs de Mac. Les utilisateurs d’ordinateurs sont plus éduqué à l’informatique et ses risques que les utilisateurs de smartphones. Donc pour répondre à ta question, ouvrir au side loading sur iPhone ça va être un carnage bien plus grand, incommensurablement plus grand, que sur MacOS."

———
Ok. Alors ajoutons les utilisateurs de Windows alors. Ils sont toujours moins nombreux ?

avatar Dylem | 

Personne ne t'oblige à télécharger des apps en dehors du store.

Ce n'est pas parce que tu ne sais pas te servir d'un téléphone que c'est la même chose pour les autres.

avatar Godverdomme | 

Monsieur n'aime pas les champignons, il veut forcer le monde entier a ne pas en manger car il est contre et certains champignons tuent.

Il pense que tout le monde doit partager son avis.

avatar IceWizard | 

@Godverdomme

« Monsieur n'aime pas les champignons, il veut forcer le monde entier a ne pas en manger car il est contre et certains champignons tuent.
Il pense que tout le monde doit partager son avis. »

Monsieur Godverdomme n’aime pas et ne comprend pas les gens. Il refuse l’idée d’un système conçu spécifiquement pour le grand public, car il pense que tout le monde est un geek dont la société a réprimé les capacités naturelles en refusant l’apprentissage du C++ à la place de l’éducation physique.

Il refuse le concept d’une « informatique pour les nuls » car tout le monde doit partager son avis. L’existence même d’une alternative lui est intolérable, au nom de la suprématie geek.

#PoutineAimeGodverdommeEtSonIntoleranceSocietale

avatar Dylem | 

Donc vouloir installer des apps hors du store, c'est coder en C++, être tout maigre et être pro Poutine?

Oskour.

Le niveau en informatique des pro-Apple est très très faible.

Installer une app hors du store ne pose pas + de souci...si l'OS est bien construit. :)
Sur Windows, 0 virus depuis des années.

avatar IceWizard | 

@Dylem

« Donc vouloir installer des apps hors du store, c'est coder en C++, être tout maigre et être pro Poutine? »

Ainsi que dormir avec une figurine de Spock et envoyer des pétitions à la NASA pour que le système d’exploitation de l’Entreprise NG 1701 soit Linux, afin d’être immunisé contre les Borgs !

Sans parler d’un sérieux manque d’empathie et de compréhension des besoins des autres dans les tests de relations sociales.

Et un merveilleux talent à développer des interfaces utilisateurs compréhensifs par 5,8765 % des êtres humains !

avatar Dylem | 

T'as l'air d'être un sacré gogol toi.

C'est très triste.

avatar IceWizard | 

@Dylem

« T'as l'air d'être un sacré gogol toi. »

Tu dis ça me faire plaisir ! C’est que 10 puissance 100 est un joli chiffre, qui a d’ailleurs inspiré les créateurs de Google quand ils cherchaient un nom sympa !

avatar Godverdomme | 

Comment les gens font ils pour se débrouiller avec un Mac qui peut installer des fichiers dmg?

Chaque fois que je vous un Mac, ce sont des geeks qui codent enC++ selon toi?

C'est grave ta maladie ou pas? Tu arrives a vivre normalement?

avatar IceWizard | 

@Dylem

« Le niveau en informatique des pro-Apple est très très faible. »

C’est marrant de voir comment certains militants techno idéologues globalisent les propos d’un individu pour essayer d’en faire une généralité. Et non, je ne suis pas pro Apple, mais Pro humain, pro utilisateur, pro grand public, pro simplicité et ergonomie. L’utilisation prime sur l’outil, qui doit s’adapter à l’utilisateur et non le contraire.

Mais c’est vrai que j’ai des lacunes, la preuve avant le Covid j’avais monté bénévolement un cours pour apprendre aux jeunes de mon quartier, à développer des petits jeux vidéos en Kotlin sur leurs smartphones Android, parce que c’est un quartier plutôt pauvre, et qu’ils n’avaient pas autre chose. Des fois j’ai honte de moi !

J’imagine bien que quelqu’un comme toi aurais mis ce temps à profit pour des choses utiles comme regarder le foot à la tv, mater les filles des séries tv, remplir une grille de loto, etc ..

avatar huexley | 

Tu devrais t'acheter un telecran, aucun risque de piratage.

avatar jog_ch | 

Notez que Apple "pré-valide" aussi une app qui va être envoyée sur TestFlight. Mais seulement la première itération d'une version... Allez savoir pourquoi.

J'explique : si je veux faire tester la version 1.2.1 de mon app, j'envoi un "build" (mettons le build numéro 42). Et je demande qu'il soit disponible dans TestFlight. Apple le valide (en tout cas il faut environ 24h pour qu'il soit validé et disponible).
Mais ensuite, si je fais un nouveau build (le 43) mais toujours de la version 1.2.1, il est disponible immédiatement dans TestFlight.

Je n'ai jamais compris cette logique. Car du coup c'est très facile de faire "pré-valider" une version innocente et ensuite envoyer sans validation d'autres versions.

avatar DahuLArthropode | 

@jog_ch

"Je n'ai jamais compris cette logique"

C’est la vocation même de TestFlight, de permettre des itérations très rapides et de faciliter la multiplication des versions de test. Si Apple ajoute une semaine de validation dans le processus, on perd en agilité.
Maintenant, si ça ouvre une brèche aussi sérieuse dans la sécurité, Apple peut alourdir le processus à chaque version, mais aussi limiter TestFlight (ou le processus léger) à des « éditeurs de confiance ».

avatar jog_ch | 

@DahuLArthropode

Oui, c'est vrai.
Mais même la première validation est déjà lente, plus lente qu'une vraie validation pour la production. C'est étrange (mais logique : ils ont moins d'équipes pour TestFlight).

avatar DahuLArthropode | 

@jog_ch

"la première validation est déjà lente, plus lente qu'une vraie validation pour la production"

Cela s’explique peut-être justement par le fait que les suivantes (les itérations) seront peu ou pas contrôlées ?

avatar Pyby | 

@DahuLArthropode

Je suis du même constats que @jog_ch.

En temps que dev, on a vu petit à petit progresser TestFlight, racheté par Apple en 2014 (« Apple Confirms Burstly Buy »).

La mise en place de la vérification des builds TestFlight n’existait pas. La logique a voulu qu’Apple contrôle un peu. Seul un build d’une version est vérifié actuellement, on ne sait pas trop si c’est les mêmes critères que pour la validation publique mais :
- plus lent que la review pour l’AppleStore
- pas de vérification des meta données de texte sur les nouveautés.

À rajouter qu’un build TestFlight ne peut marcher que 90 jours une fois envoyé chez Apple. Assez pour les arnaqueur·euses et un nouveau build est facile à faire.

C’est tout de même assez claire que cela ne vient pas de l’AppStore. Le nom du dev (ou de la compagnie) qui distribue est affiché.

avatar Derw | 

@DahuLArthropode

Ou rendre le téléchargement de TestFlight conditionnel…

CONNEXION UTILISATEUR