Ces derniers temps, les malware se propageant sur iOS exploitaient des certificats d'entreprises. Ces derniers sont délivrés par Apple mais revendus à des tiers, leur permettant de déployer des applications vérolées. Le mobinaute doit alors autoriser l'installation en acceptant le certificat.
De son côté AceDeceiver n'a besoin d'aucun consentement. Le malware en question exploite une faille au sein de FairPlay, le gestionnaire des droits numériques conçu par Apple. L'application peut donc être installée sur les terminaux jailbreakés ou non.
Concrètement, sur l'ordinateur, le logiciel iTunes permet à l'utilisateur d'acheter une application pour procéder ensuite à son installation sur l'iPhone ou l'iPad. Le smartphone ou la tablette procédera à une vérification d'un code d'autorisation permettant de s'assurer que l'application a bel et bien été achetée. Les hackeurs ont mis au point un logiciel s'exécutant sur la machine de la victime et capable de changer ce code pour procéder à une installation discrète.
AceDeceiver exploite les DRM d'Apple
L'attaque nécessite donc l'installation du logiciel sur l'ordinateur de la victime. Toutefois, selon les experts de Palo Alto Networks, même si Apple a nettoyé son App Store, « il suffit que les applications aient été disponibles une seule fois au téléchargement » pour être ensuite déployées depuis le PC.
Entre juillet 2015 et février 2016, trois applications ont été identifiées, toutes se faisant passer pour des répertoires de fonds d'écran. Pour l'heure le comportement malveillant de ces dernières n'est activé que si la victime se trouve en Chine mais cette menace pourrait évoluer à l'avenir.
Sur le même sujet :
