IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Jekyll : l'application malveillante déjoue le mécanisme de validation d'Apple
Et se retrouve sur l'App Store

Le , par Cedric Chevalier

53PARTAGES

4  0 
Après le chargeur USB malicieux qui permettait aux hackers d’installer en moins d’une minute des applications malveillantes sur un iPhone, la plateforme mobile de la firme de Cupertino est une fois de plus mise au-devant de la scène.

Cette fois, c’est le mécanisme de validation des applications de l’App Store qui est en cause. Tielei Wang, Kangjie Lu, Long Lu, Simon Chung et Wenke Lee de Geoargia Tech ont réussi à installer dans l’App Store une application malicieuse qui a pu échapper au contrôle strict d’Apple.

Baptisée Jekyll, l’application malicieuse installée par les chercheurs possède des vulnérabilités intentionnelles permettant à un hacker distant d’exécuter du code arbitraire sur l’iPhone de sa victime. Prise de photos, tweet, envoi de SMS, sont les quelques actions que ce logiciel malveillant est capable de réaliser.

Le mécanisme de validation des applications dans l’App Store demeure un mystère. Il n’a jamais été rendu public par Apple. Cependant, grâce au fonctionnement de Jekyll, ce dernier semble se dévoiler. Ils ont ainsi établi qu’Apple, en plus d’une analyse dynamique (qui requiert l'exécution de l'application sur un iPhone réel), effectue aussi l’analyse statique des applications destinées à rejoindre l’App Store.

En ce qui concerne Jekyll, les chercheurs pensent que son analyse dynamique n’a duré que quelques secondes. Long Lu suppose donc qu’Apple accorderait plus d’importance à l’analyse statique. Ce qui d’après lui est insuffisant pour détecter le caractère malicieux d’une application.

Avec la découverte des chercheurs, une question se pose alors : n’existerait-il pas des malwares développés pour iOS qui exploitent ce mécanisme ? Pour en avoir le cœur net, Marc Rogers de la firme de sécurité Lookout a une proposition : « Le processus de validation des applications de l’App Store devrait inclure en plus une surveillance continuelle de ces dernières ».

Source : Technolgy Review

Et vous ?

Après cette découverte, pensez-vous que le nombre de malwares sous iOS ait été longtemps sous-estimé ? Pourquoi ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de YoyoS
Nouveau membre du Club https://www.developpez.com
Le 20/08/2013 à 11:53
Bien sure qu'elles existent et sur toutes les plateformes.
Mais les hackers intelligents sont évidemment ceux qui ne se font pas repérer.
4  0 
Avatar de sbeex
Membre actif https://www.developpez.com
Le 20/08/2013 à 19:22
Null n'est parfait c'est bien clair iOS est certainement aussi victime de malwares.

Toutefois cela reste toujours mieux d'avoir des garde-fou pas 100% efficaces que pas du tout (comme c'est le cas sur d'autres plateformes d'application mobiles)
0  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 21/08/2013 à 20:47
Le danger avec Apple, c'est que les gens se croient à l'abri, c'est surtout que les plateformes mac sont bien moins attaquées ( hormis plateforme IPhone ou le risque se siyue essentiellement après jailbreak).

Je pense qu'ils sont en retard au niveau sécurité.

De plus Apple utilise certains produits libres tels que OpenLDAP, Apache, Cyrus mail ou dovecot selon les versions ( pour les dernières versions système cela a peut être changé ). Celles-ci sont elles à jour, les MàJ Apple prennent elles en comptes les failles critiques sur ces applis ? Exemple Flashback malware exploitant une faille java corrigée par Oracle mais pas par apple. La solution Apple : mise à jour système désactivant java
0  0 
Avatar de denisBertin
Membre du Club https://www.developpez.com
Le 23/08/2013 à 14:25
Je prend un exemple, simple je programme un outil logiciel de dessin vectoriel, alors je rencontre le problème suivant, pour obtenir un certificat de conformité auprès de MicroSoft ceux-ci me demande de dépenser 500€ auprès de Symantec
par exemple mais croyait vous vraiment qu'avec le temps impartie par ces frais vous pouvez vraiment assurer la validité d'un logiciel ?
0  0