Apple serait trop léger dans la vérification des applications proposées sur iTunes
Des chercheurs en sécurité ont décidé d'étudier les processus de validation des applications iOS d'Apple et de voir s'il était possible de passer outre pour faire passer du code malveillant.
Ils ont réussi à le faire en réussissant à faire mettre en ligne une application contenant un code potentiellement dangereux. Pour arriver à faire passer ce code ils l'ont fragmenté dans plusieurs fonctions de leur logiciel, qui était ensuite chargé de le réassembler pour le rendre actif.
Les chercheurs ont aussi constaté grâce à des logs que durant la validation l'application n'a été lancée que quelques secondes, pas assez pour détecter le réassemblage de ce code mailveillant.
Bien entendu, ils ont retiré le logiciel en question quelques minutes après qu'il a été mis en ligne, juste le temps de le télécharger pour vérifier qu'il agissait bien comme prévu, ce qui fut le cas. Ils ont réussi à prouver que le système de validation d'Apple était faillible, ce qui était une évidence, aucun système n'ayant encore réussi à résister à tout.
Apple en tirera probablement les conséquences en étudiant cette attaque mais il serait impossible de vouloir vérifier à fond tout le code des logiciels avant de les mettre en ligne sauf à étendre les délais de plusieurs semaines.