Les analystes de FireEye ont récemment publié un billet qui parle d’une nouvelle menace pour les utilisateurs d’iOS, billet au titre explicite : iBackDoor.
Cette potentielle backdoor pourrait permettre de :
- Faire de la capture audio et des copies d’écran
- Enregistrer et observer la position d’un terminal
- Lire, écrire, créer et modifier les fichiers de l’application « backdoorée »
- Envoyer des données chiffrées à des serveurs distants
- Faire installer des applications hors market en demandant à l’utilisateur de cliquer sur « Installer »
Ladite backdoor se situe dans une librairie nommée mobiSage SDK, éditée par la société chinoise adSage. L’application a besoin, pour son propre fonctionnement, d’aller chercher du contenu distant, comme des publicités. Il apparaît donc normal que certaines fonctionnalités existent.
Ce qui l’est sans doute moins, comme l’explique FireEye, c’est qu’il soit possible, pour l’application, de récupérer du code distant et de l’exécuter en douce, sans que l’utilisateur en soit informé. Partant de ce constat, on imagine aisément les risques liés à cette fonctionnalité : exécuter du code distant, récupérer des données personnelles, installer d’autres applications ou autorisations en douce, véroler complètement le terminal, …
Bien que le problème semble concerner plus de 2800 applications iOS, la société tient à préciser qu’elle n’a pas observé de mouvements suspects ou d’injections de codes et commandes « malicieuses » sur le serveur de la société incriminée. Elle ne sait pas non plus si cette backdoor a été créée par adSage ou s’ils sont victimes d’un piratage.
Enfin, autre point, dans la dernière version de la librairie (mobiSage SDK 7.0.5), FireEye explique ne pas avoir trouvé la backdoor.
Reste à attendre la suite des évènements, ce problème est déjà remonté à Apple, qui réagira peut-être en bannissant toutes les applications concernées
Pour celles et ceux qui souhaitent obtenir le détail technique, c’est par ici que ça se passe (en anglais).