Un malware détecté sur l'App Store et celui de Google, Réactions à la publication du 06/07/2012

[Lionel]

Une application suspecte, pour ne pas dire malveillante, du nom de Find and Call a réussi à passer les cribles d'Apple et ceux de Google pour se retrouver sur les boutiques en ligne des deux sociétés.
Ce logiciel d'origine russe censé faciliter la recherche dans ses contacts allait beaucoup plus loin:

• Agissant en spammeur, il envoyait à tous les contacts un SMS les invitant à aller sur l'App Store le télécharger,
• Il envoyait l'intégralité de la liste de contact à un serveur distant, 
• il invitait la personne à rentrer dans les préférences ses identifiant mail et mot de passe,
• il invitait également à faire de même avec ceux des réseaux sociaux,
• cerise sur le gâteau, il tentait d'obtenir les informations de compte PayPal.

Malgré ces faits que l'on peut considérer comme graves et visiblement mal intentionnés, le développeur contacté aurait indiqué que l'envoi des SMS à tous les contacts était seulement un bug.
C'est d'autant moins probable que le code ressemble furieusement par certains aspects à celui de malwares en circulation. 
Par Lionel

[GhisDiem]

Il va bientôt falloir se méfier de toute application qui vient de Russie au même titre que les ventes de matériel informatique qui émane d'Afrique…… 
Ça manque d'étude des codes des apps qu'ils hébergent chez Apple, non ?

[grogeek]

J'attend avec enthousiasme les commentateurs* dénigrant Android au profit de iOS tellement plus sécurisé...

*nom connu

[igerard]

Java/Android SDK <-----> ObjC/Cocoa...

Choisis ton camp, товарищ ;-)

Ce message a été modifié par igerard - 6 Jul 2012, 07:46.

[grogeek]

Java/Android SDK <-----> ObjC/Cocoa...

Choisis ton camp, товарищ ;-)

J'ai choisi, et c'est LUA !

[taz065]

j'espère au moins que cette ap était gratuite,des fois qu'apple soit poursuivi pour recel.... ;-)

[Dreaming]

J'attend avec enthousiasme les commentateurs* dénigrant Android au profit de iOS tellement plus sécurisé...

*nom connu

Le petit Jeriqarayan est demandé à l'accueil !

[igerard]

Java/Android SDK <-----> ObjC/Cocoa...

Choisis ton camp, товарищ ;-)

J'ai choisi, et c'est LUA !

Je connais très bien ce super langage de scripting, je l'ai utilisé pendant presque 5 ans (la version 4)... Mais ce n'est pas pareil :-)

A l'époque de WebObject il y a bien longtemps dans une lointaine galaxy, il y avait WebScript...
Et une info sympa sur ObjC ;-)

[ricchy]

Un Bug, c'est cela oui.

[Yves-P]

Et une info sympa sur ObjC ;-)

L'Objective-C devant le C#, si ce n'est pas navrant... En même temps, il s'agit de popularité et pas de qualité intrinsèque du langage, ce n'est pas étonnant. L'attrait de la plate-forme explique celui du langage.

[M_Marc]

Une application suspecte pour ne pas dire malveillante au nom de Find and Call a réussi à passer les cribles d'Apple et ceux de Google pour se retrouver sur les boutiques en ligne des deux sociétés.
Ce logiciel d'origine russe censé faciliter la recherche dans ses contacts allait beaucoup plus loin:

• Agissant en spammeur il envoyait à tous les contacts un SMS les invitant à aller sur l'App Store le télécharger,
  
• Il envoyait l'intégralité de la liste de contact à un serveur distant, 
  
• il invitait la personne à rentrer dans les préférences ses identifiant mail et mot de passe,
  
• il invitait également à faire de même avec ceux des réseaux sociaux,
  
• cerise sur le gâteau, il tentait d'obtenir les informations de compte PayPal.

Malgré ces faits que l'on peut considérer comme graves et visiblement malintentionnés le développeur contacté aurait indiqué que l'envoi des SMS à tous les contacts était seulement un bug.
C'est d'autant moins probable que le code ressemble furieusement par certains aspects à celui de malwares en circulation. 
Par Lionel

Culturellement trop fort nos amis Russes qui parlent de bug pour une des fonctionnalités principale du soft. Si l'éditeur avait été d'origine non ex Bloc communiste on aurait certainement rien entendu et/ou le soft aurait été repris par une agence gouvernementale.

... a pardon c'est iOs/android/window/OSX/Linux qui sont déjà contrôlés par les agences gouvernementale de gentil de l'ouest... En fait je me souviens plus... Ce n’est pas plutôt au niveau des processeurs/cartes réseau que nos "amis de l'ouest" contrôlent nos données?

[Désolé pour mon humour un peu foncé, mais j'ai toujours de la peine a accepter cette propagande post guerre froide qui persiste même 50 ans après]

Ce message a été modifié par M_Marc - 6 Jul 2012, 08:43.

[igerard]

Et une info sympa sur ObjC ;-)

L'Objective-C devant le C#, si ce n'est pas navrant... En même temps, il s'agit de popularité et pas de qualité intrinsèque du langage, ce n'est pas étonnant. L'attrait de la plate-forme explique celui du langage.

Bon, on ne va pas partir dans une guerre des langages, plus on en apprend et en maîtrise, mieux c'est.

J'aime beaucoup ObjC, il est clair que l'aspect dynamique, de pouvoir mixer bas et haut niveau d'abstraction et de pouvoir utiliser aussi le c++ sont des atouts super importants, sans oublier l'Api qui est superbe.

Les ajouts faits à ObjC ces dernières années sont plus qu'appreciables.

Ce message a été modifié par igerard - 6 Jul 2012, 09:00.

[r@net54]

Une application suspecte pour ne pas dire malveillante au nom de Find and Call a réussi à passer les cribles d'Apple et ceux de Google pour se retrouver sur les boutiques en ligne des deux sociétés.
Ce logiciel d'origine russe censé faciliter la recherche dans ses contacts allait beaucoup plus loin:

• Agissant en spammeur il envoyait à tous les contacts un SMS les invitant à aller sur l'App Store le télécharger,
  
• Il envoyait l'intégralité de la liste de contact à un serveur distant, 
  
• il invitait la personne à rentrer dans les préférences ses identifiant mail et mot de passe,
  
• il invitait également à faire de même avec ceux des réseaux sociaux,
  
• cerise sur le gâteau, il tentait d'obtenir les informations de compte PayPal.

Malgré ces faits que l'on peut considérer comme graves et visiblement malintentionnés le développeur contacté aurait indiqué que l'envoi des SMS à tous les contacts était seulement un bug.
C'est d'autant moins probable que le code ressemble furieusement par certains aspects à celui de malwares en circulation. 
Par Lionel

Comme quoi, un seul niveau de sécurité ne suffit pas

Vu le nombre de données privées qu'il recupere je me demande bien comment les "validateurs" d'Apple et Google ont pu laisser passer ça, d'autant que ne n'est pas le premier du genre (au moins au niveau d'une partie des fonctions). C'est vraiment surprenant.
Ceci dit, bon nombre de softs commerciaux des plus officiels et utilisés (en particulier les suites multiplateformes pro) "balancent" sur le net beaucoup d'infos, sans que l'on s'en offusque...

En tous cas, ca va permettre a Apple et Google d'annoncer un renforcement de la sécurité et un durcissement des règles à respecter pour arriver sur les stores

Apres quant a savoir son origine c'est tout a fait secondaire. Les russes ont de très bons programmeurs et d'excellents hackers, comme les ukrainiens, comme les hongrois, comme les français, comme les israéliens, comme les américains, comme les indiens et comme les chinois...

[BdeHOGUES]

Java/Android SDK <-----> ObjC/Cocoa...

Choisis ton camp, товарищ ;-)

J'ai choisi, et c'est LUA !

Tu n'as pas essayé : 3615 ULA...

Trop tard car c'est fini depuis qqes jours

[MacGrizzly]

Java/Android SDK <-----> ObjC/Cocoa...

Choisis ton camp, товарищ ;-)

J'ai choisi, et c'est LUA !

Il y aussi un spinoff devenu très éloigné de feu hypercard : Livecode. Toutes plateformes, depuis linux jusqu'à IOS.

[r@net54]

Et une info sympa sur ObjC ;-)

L'Objective-C devant le C#, si ce n'est pas navrant... En même temps, il s'agit de popularité et pas de qualité intrinsèque du langage, ce n'est pas étonnant. L'attrait de la plate-forme explique celui du langage.

Bon, on ne va pas partir dans une guerre des langages, plus on en apprend et en maîtrise, mieux c'est.

J'aime beaucoup ObjC, il est clair que l'aspect dynamique, de pouvoir mixer bas et haut niveau d'abstraction et de pouvoir utiliser aussi le c++ sont des atouts super importants, sans oublier l'Api qui est superbe.

Les ajouts faits à ObjC ces dernières années sont plus qu'appreciables.

Objective-c, C#, Java,C++... peu importe c'est équivalent pour faire des malwares: on peut meme faire des choses très destructrices avec des scripts (sh, python, lua, ...)!
Ce qui va différencier les langages ce sont leurs capacités a éviter de faire des bugs, leur expressivité, la non redondance, leur lisibilité et leur cohérence.

Ce qui est important au final c'est que le programmeur soit formé, a l'algorithmique évidement mais aussi a diverses approches(procedurale, fonctionnelle, déclaratif,objet,...), qu'il maitrise une bonne méthodologie de conception et qu'il maitrise son environnement de développement. Apres, chaque forme d'esprit a ses propres gouts...

[hellomorld]

Il y aussi un spinoff devenu très éloigné de feu hypercard : Livecode. Toutes plateformes, depuis linux jusqu'à IOS.

Oui ! Et je m'en sers presque tous les jours ! J'ai pu faire une application iOS avec tout récemment (voir signature). C'est un poil moins fluide qu'en "natif", l'intégration avec iOS est encore largement perfectible, mais vu la relative facilité de codage, on peut arriver à des choses pas mal pour un "non programmeur" comme moi.

[SartMatt]

Vu le nombre de données privées qu'il recupere je me demande bien comment les "validateurs" d'Apple et Google ont pu laisser passer ça, d'autant que ne n'est pas le premier du genre (au moins au niveau d'une partie des fonctions).

Dans le cas de Google, il me semble qu'il n'y a pas vraiment de validation à priori, juste un système de détection automatique de code malveillant. Mais en l’occurrence, le code de cette application n'est pas forcément malveillant, plein d'applications effectuent des opérations similaires de façon totalement légitime.

Par contre, sous Android, quand on installe un logiciel, on a la liste de toutes les actions qu'il peut effectuer. L'utilisateur est donc clairement informé par exemple que l'application va être autorisée à envoyer des SMS.

Ce qu'il manque encore, c'est la possibilité d'être sélectif dans ces autorisations. Aujourd'hui, soit on valide tout et on peut installer l'application, soit on ne valide rien et on ne peut pas installer l'application. Certaines versions modifiées d'Android permettent de définir précisément les droits d'une application, ça serait bien que ça arrive un jour dans la version officielle et dans iOS.

En tous cas, ca va permettre a Apple et Google d'annoncer un renforcement de la sécurité et un durcissement des règles à respecter pour arriver sur les stores

Peut-être. Mais dans le cas de Google Play, c'est quand même moins problématique que dans le cas de l'App Store, vu que le passage par Google Play n'est pas obligatoire.

[Xdave]

Je me demande quelle est la procédure de validation chez Apple.
Juste une validation des fonctions?
Via un vrai iPhone ou via le simulateur?

Comment savoir tout ce qu'elle fait/peut faire en douce ou pas si l'appli est compilée?

+1 StartMatt pour un contrôle plus fin des autorisations.
Mais imaginons que l'appli demande la possibilité d'envoi de SMS (vu que c'est un assistant à mieux gérer les contacts), ben tu dis oui... et après? coment savoir qu'elle va spammer au lieu d'envoyer un SMS quand on lui demande?

C'est tordu un hacker

[SartMatt]

Mais imaginons que l'appli demande la possibilité d'envoi de SMS (vu que c'est un assistant à mieux gérer les contacts), ben tu dis oui... et après? coment savoir qu'elle va spammer au lieu d'envoyer un SMS quand on lui demande?

On peut envisager un système d'autorisations fonctionnant comme certains pare-feux, avec la possibilité de définir une autorisation permanente, une autorisation pour la durée de la session, ou une autorisation juste pour une seule fois.
Bon après, le problème c'est que l'utilisateur risque de donner systématiquement l'autorisation définitive, pour pas se faire emmerder à chaque fois...

[sylver78]

Je me demande quelle est la procédure de validation chez Apple.
Juste une validation des fonctions?
Via un vrai iPhone ou via le simulateur?

Comment savoir tout ce qu'elle fait/peut faire en douce ou pas si l'appli est compilée?

+1 StartMatt pour un contrôle plus fin des autorisations.
Mais imaginons que l'appli demande la possibilité d'envoi de SMS (vu que c'est un assistant à mieux gérer les contacts), ben tu dis oui... et après? coment savoir qu'elle va spammer au lieu d'envoyer un SMS quand on lui demande?

C'est tordu un hacker

La vérification d'Apple peut être résumé à un controle de différents points :
- Pas d'utilisation d'API privées
- Concordance entre la description de l'application et ce qu'elle fait réellement (la vérification n'est pas hyper poussée non plus)
- Vérification que l'application ne plante pas (s'il y a un plantage pendant leurs tests, il y a refus de validation)
- Vérification que l'application ne franchit pas la ligne de ce qui est acceptable pas Apple (règle assez subjective)

Ces tests sont fait sur de vrais iPhone/iPad (pas sur simulateur). Ils ne vérifient pas le fonctionnement sur d'anciennes version d'iOS par exemple ...
Depuis ils font peut-être des tests pour savoir si l'appli ne va pas se connecter à des serveurs non autorisés, mais si par exemple le développeur a fait un petit quelque chose pour que l'application modifie son fonctionnement après 2 jours d'utilisation par exemple, Apple ne detectera pas ça avec son process actuel !

[marc_os]

Une application suspecte pour ne pas dire malveillante au nom de Find and Call a réussi à passer les cribles d'Apple et ceux de Google pour se retrouver sur les boutiques en ligne des deux sociétés.
Ce logiciel d'origine russe censé faciliter la recherche dans ses contacts allait beaucoup plus loin:

• Agissant en spammeur il envoyait à tous les contacts un SMS les invitant à aller sur l'App Store le télécharger,
  
• Il envoyait l'intégralité de la liste de contact à un serveur distant, 
  
• il invitait la personne à rentrer dans les préférences ses identifiant mail et mot de passe,
  
• il invitait également à faire de même avec ceux des réseaux sociaux,
  
• cerise sur le gâteau, il tentait d'obtenir les informations de compte PayPal.

Malgré ces faits que l'on peut considérer comme graves et visiblement malintentionnés le développeur contacté aurait indiqué que l'envoi des SMS à tous les contacts était seulement un bug.
C'est d'autant moins probable que le code ressemble furieusement par certains aspects à celui de malwares en circulation. 
Par Lionel

Culturellement trop fort nos amis Russes qui parlent de bug pour une des fonctionnalités principale du soft.
[...]

C'est un peu l'inverse du It's not a bug, it's a feature !

[Nikoolinux]

En suivant quelques liens sur l'article paru sur LeMonde.fr sur le sujet, on tombe sur une histoire d'Apps qui upload le carnet d'adresses de l'iPhone sans que l'utilisateur soit forcément directement informé/consentant.

http://www.lemonde.fr/technologies/article...134_651865.html

http://www.lemonde.fr/technologies/article...512_651865.html

Ce problème sur la non-sécurisation des données perso des iPhones par Apple au profit d'apps qui les upload vers des serveurs distants ne semble donc pas être résolu et avoir été exploité ici.

C'est embêtant tout de même.
Va falloir qu'Apple se retrousse les manches un peu tout de même.



Ce message a été modifié par Nikoolinux - 6 Jul 2012, 17:29.

[dan31]

Par contre, sous Android, quand on installe un logiciel, on a la liste de toutes les actions qu'il peut effectuer. L'utilisateur est donc clairement informé par exemple que l'application va être autorisée à envoyer des SMS.
Ce qu'il manque encore, c'est la possibilité d'être sélectif dans ces autorisations. Aujourd'hui, soit on valide tout et on peut installer l'application, soit on ne valide rien et on ne peut pas installer l'application. Certaines versions modifiées d'Android permettent de définir précisément les droits d'une application, ça serait bien que ça arrive un jour dans la version officielle et dans iOS.

En fait il faut rooter son téléphone (sous Android) et là on peut choisir finement ce que l'appli peut faire. Il est sur que, au moins, à l'installation on sait ce que va faire l'appli, ce qui permet de la jeter si elle en demande plus que nécessaire.

[Guest_archive_*]

Pinaise , ça devient dangereux les produits Apple : Un camion de produits Apple attaqué à la Kalashnikov à Paris aujourdhui ! : http://www.appleinsider.com/articles/12/07...e___report.html

C'est fou comme les temps changent. Il y à peine 10 ans, les vendeurs de chez Surcouf nous riaient au nez quand on demandait un lecteur mp3 compatible Apple, et maintenant on est prêt à attaquer à la mitrailleuse pour en avoir du Apple.

Ce message a été modifié par archive - 6 Jul 2012, 18:34.

[SartMatt]

et maintenant on est prêt à attaquer à la mitrailleuse pour en avoir du Apple.

Je doute que le but était d'"avoir" du Apple... Le but était sans doute plutôt de mettre la main sur des produits Apple pour les revendre... D'ailleurs, si ça se trouve, ils ne savaient même pas ce sur quoi ils allaient mettre la main en braquant ce transporteur (y a pas de pomme sur les camions hein...).

[Guest_archive_*]

et maintenant on est prêt à attaquer à la mitrailleuse pour en avoir du Apple.

Je doute que le but était d'"avoir" du Apple...

Je sais bien C'est une façon de parler.
Par contre ils ont l'air de bien savoir ce que contenait le camion, leur coup était bien préparé.

[divoli]

et maintenant on est prêt à attaquer à la mitrailleuse pour en avoir du Apple.

Je doute que le but était d'"avoir" du Apple... Le but était sans doute plutôt de mettre la main sur des produits Apple pour les revendre... D'ailleurs, si ça se trouve, ils ne savaient même pas ce sur quoi ils allaient mettre la main en braquant ce transporteur (y a pas de pomme sur les camions hein...).

Nan, bien sûr, ils attendent au bord de la route et ils s'attaquent au premier transporteur venu, comme ça, au hasard...

Ils auraient très bien pu tomber sur 500 litres de sirop de fraise, c'est juste que c'est plus dur à écouler, et surtout moins "rentable".

[jumera]

Cette app existe depuis le 18 Juin 2011
et a été updatée le 13 Juin 2012

http://appshopper.com/business/find-and-call

[chombier]

Objective-c, C#, Java,C++... peu importe c'est équivalent pour faire des malwares: on peut meme faire des choses très destructrices avec des scripts (sh, python, lua, ...)!
Ce qui va différencier les langages ce sont leurs capacités a éviter de faire des bugs, leur expressivité, la non redondance, leur lisibilité et leur cohérence.

Alors là, tu m'intéresses !
Quel est le langage qui évite le mieux de "faire des bugs" parmi ceux que tu cites ?

Ce message a été modifié par chombier - 6 Jul 2012, 21:49.