Posted in

Un analyste de sécurité découvre que de fausses applications d’opérateurs mobiles suivent la localisation de l’iPhone et écoutent les appels téléphoniques


Dans un autre abus du programme de distribution d’entreprise, L’analyste de sécurité Lookout a identifié des applications (via TechCrunch) Ces applications étaient censées être publiées par des opérateurs de téléphonie mobile en Italie et au Turkménistan. Les utilisateurs d’iPhone pouvaient les télécharger via Safari car elles étaient signées par un certificat d’entreprise. Ces applications utilisaient la marque de l’opérateur et prétendaient proposer des services pour les forfaits mobiles des utilisateurs, alors qu’en réalité elles demandaient toutes les autorisations possibles pour suivre la localisation, collecter les contacts, les photos, etc., et avaient la capacité d’écouter les conversations téléphoniques des utilisateurs.

Les applications utilisant des certificats d’entreprise ne sont pas disponibles via l’App Store, mais les criminels malveillants peuvent cibler les utilisateurs iOS via Safari (peut-être avec un e-mail de type attaque de phishing) et inciter les gens à télécharger l’application sur le Web, en dehors du champ d’application du processus d’examen de l’App Store.

En fait, lorsqu’une application est distribuée avec un certificat d’entreprise, Apple n’a aucune responsabilité quant à ce que l’application peut faire. Lorsqu’un développeur demande un certificat d’entreprise, Apple indique clairement que les applications ne doivent être livrées qu’aux employés de l’entreprise et ne doivent pas être utilisées ailleurs. Cependant, dans l’état actuel des choses, Apple ne peut pas faire grand-chose pour faire respecter cette règle au-delà de la politique de formulation de recommandations.

Cette année, nous avons été témoins d’innombrables abus du système d’entreprise, notamment des cas très médiatisés comme ceux de Facebook et de Google. Apple révoque le certificat lorsqu’elle prend connaissance de cas individuels, mais il est clair que l’entreprise n’a pas le contrôle global du programme de certification d’entreprise. Dans une future version logicielle d’iOS, Apple pourrait imposer des exigences plus strictes pour renforcer la sécurité du programme d’entreprise. L’entreprise n’a cependant pas encore pris de telles mesures.

Les certificats sont souvent volés ou revendus, ce qui fait que les licences du programme de développement d’entreprise qui étaient autrefois utilisées de manière légitime sont désormais utilisées de manière malveillante. Dans le cas de l’application mise en évidence par Lookout, elle semble être liée à un malware similaire qui existait sur Android et qui s’appelle « Exodus ».

Les clients traditionnels peuvent se protéger en ne téléchargeant jamais d’applications provenant d’une autre source que l’App Store. Les opérateurs de téléphonie légitimes ne demanderont jamais à leurs clients d’installer des applications à partir de leurs propres sites Web.

FTC : Nous utilisons des liens d’affiliation automatiques générant des revenus. Plus.