Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

    











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vulnérabilités

XMCO : Une brèche découverte au sein des applications Iphone développées via SDK

novembre 2008 par XMCO PARTNERS

Intrepid iPhone developers bypass security for functionality

 Date : 18 Novembre 2008

 Plateforme : Mac OS X

 Programme : iPhone

 Exploitation : Avec un fichier malicieux

 Dommage : Accès au système

 Description :

Un nouveau problème affectant les applications développées pour l’Iphone vient d’être révélé.
En effet, depuis plusieurs mois Apple offre la possibilité aux développeurs de créer leurs propres applications puis de les vendre via le portail AppleStore.
N’importe quel internaute peut donc utiliser le kit de développement SDK afin de développer son application pour l’Iphone.

Une fois développée, l’application doit passer plusieurs contrôles avant d’être légalement mise à disposition du public.
Les développeurs utilisent un outil nommé "codesign" qui permet d’identifier l’auteur de l’application et de s’assurer que le code n’a pas été modifié.

Un développeur vient de découvrir qu’il était possible de créer des applications Iphone malicieuses contournant les contrôles imposés par Apple.
En effet, chaque application utilise une image "Default.png", utilisée lors des différents effets visuels, et affichée lors du lancement du programme. Lorsqu’une application est fermée, une capture d’écran est prise afin de l’afficher lors de la prochaine ouverture.

Cette image "Default.png" ne peut, à priori, être modifiée puisqu’elle est stockée au sein de l’application digitalement signée.
Cependant, un chercheur vient de découvrir qu’il était possible d’utiliser un lien symbolique pour l’affichage de cette image.
Ainsi, en faisant appel à une image stockée en dehors de l’application, la signature reste inchangée. Cette astuce permettrait à une application signée d’utiliser du code "non validé" par Apple puisque situé à un autre endroit.

Cette découverte ouvre donc la porte au développement d’applications malicieuses (valides aux yeux d’Apple mais chargeant du code non désiré)...

 Vulnérable :

* Iphone

 Référence :

http://collison.ie/blog/2008/11/dynamic-defaultpng-files-on-the-iphone

http://www.avertlabs.com/research/blog/index.php/2008/11/15/intrepid-iphone-developers-bypass-security-for-functionality/

 Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1227003850


Voir les articles précédents

    

Voir les articles suivants

Les événements

23 avril Paris 9h à 13h : Conférence Appian, Cap Gemini sur le thème Financial Services et Assurances

    

Voir tous les évènements











Ecole de cybersecurite a Lyon et Paris
Ecole de cybersecurite a Lyon et Paris


Vulnérabilités

All our news in english

Alle unsere News auf deutsch

 
Actu Dossiers Cyber Securité RGPD Vulnérabilités Malwares Agenda CARTOGRAPHIE DES DC NEUTRES Carrière GS Days Guide THEMA Agences Presse CONTACTS Contact A propos Mentions légales identifier ADMIN

Global Security Mag Copyright 2011