C’est après avoir découvert une bibliothèque contenant potentiellement des backdoors que des millions d’applications iOS utilisant cette librairie se retrouvent affectés.
Ce sont des chercheurs de FireEye qui viennent d’annoncer la récente découverte de backdoors dans une bibliothèque utilisée par des milliers d’applications iOS publiées sur l’App Store. En utilisant cette librairie, les applications en question sont une véritable menace pour les utilisateurs vu que les backdoors en question offrent potentiellement un accès malveillant à des données sensibles à des personnes non autorisées.
De nombreuses versions de la bibliothèque sont concernées
La librairie concernée par ces backdoors sont des versions de mobiSage SDK. En fait, de nombreuses versions sont concernées vu qu’il existe 17 versions distinctes, référencées 5.3.3 à 6.4.4.
La dernière version de mobiSage SDK, la 7.0.5, ne possède plus les backdoors en question.
De nombreuses applications concernées par ces backdoors
En date du 4 novembre dernier, ce sont quelque 2 846 applications iOS qui ont été identifiées pour leur utilisation de versions potentiellement dangereuses de mobiSage SDK. À leur sujet, les chercheurs de FireEye indiquent avoir repérés plus de 900 tentatives de communication vers un serveur de publicité adSage capable de fournir du code JavaScript capable d’utiliser les backdoors.
FireEye indique qu’Apple a déjà été informé de la liste complète des applications concernées et des détails techniques, cela le 21 octobre dernier.
Pas d’usage frauduleux pour le moment
Alors que la menace est potentiellement énorme, les chercheurs indiquent aussi qu’aucune commande malveillante n’a pour le moment été repérée. Il insiste tout de même sur le fait que, dans de mauvaises mains, ce code JavaScript capable de déclencher des backdoors pourraient affecter de nombreux utilisateurs.
Grâce à ces backdoors, du code JavaScript peut être téléchargé à distance sur des appareils iOS pour réaliser des actions telles que :
- De la capture audio et vidéo
- De la surveillance des téléchargements et des emplacements disponibles
- De la lecture/suppression/création/modification de fichiers
- De la lecture/suppression/réinitialisation de l’application trousseau, ce qui concerne directement le mot de passe
- D’envoyer des données cryptées vers des serveurs distants
- D’identifier des URL dans le but de lancer d’autres applications
- D’installer des applications sans inviter l’utilisateur à valider les installations en question
Sans entrer trop dans les détails techniques, un composant JavaScript peut potentiellement déclencher des backdoors à de nombreux composants tels que :
- captureAudio
- captureImage
- openMail
- openSMS
- openApp
- openInAppStore
- openCamera
- openImagePicker
- start
- stop
- setTimer
- returnLocationInfo:webViewId
- createDir
- deleteDir
- deleteFile
- createFile
- getFileContent
- writeKeyValue
- readValueByKey
- resetValueByKey
- sendHttpGet
- sendHttpPost
- sendHttpUpload
- MD5Encrypt
- SHA1Encrypt
- AESEncrypt
- AESDecrypt
- DESEncrypt
- DESDecrypt
- XOREncrypt
- XORDecrypt
- RC4Encrypt
- RC4Decrypt
- …
Soit une très longue liste qui a de quoi donner des frissons dans le dos même si on ne comprend pas tous, les termes « Encrypt », « Decrypt », « openCamera » et autres étant suffisamment explicites pour faire peur.
Apple va certainement réagir
Vu qu’Apple a été averti, du risque est que la dernière version de la bibliothèque ne pose plus problème, la firme de Cupertino va certainement inciter les développeurs des applications concernées à très rapidement les corriger pour utiliser la dernière librairie disponible.
Est-ce que la sécurité des appareils iOS est compromise ?