Les dirigeants d’Apple ont choisi de garder le silence sur le piratage de 128 millions d’iPhones.

En septembre 2015, Les responsables d’Apple avaient un dilemme sur les bras : Devaient-ils ou non informer 128 millions d’utilisateurs d’iPhone de ce qui reste la pire compromission de masse d’iOS jamais enregistrée ? En fin de compte, tout indique qu’ils ont choisi de se taire.

Le piratage de masse a été mis en évidence lorsque des chercheurs ont découvert 40 applications App Store malveillantes., un nombre qui est passé à 4 000 à mesure que les chercheurs s’y intéressaient. Les applications contenaient du code qui permettait aux iPhones et aux iPads de faire partie d’un botnet qui volait des informations potentiellement sensibles sur les utilisateurs.

Un site courriel déposé au tribunal la semaine dernière en Le procès d’Epic Games contre Apple montre que, dans l’après-midi du 21 septembre 2015, les responsables d’Apple avaient découvert 2 500 applications malveillantes qui avaient été téléchargées au total 203 millions de fois par 128 millions d’utilisateurs, dont 18 millions aux États-Unis.

« Joz, Tom et Christine – en raison du grand nombre de clients potentiellement concernés, voulons-nous envoyer un e-mail à tous ? ». Le vice-président de l’App Store, Matthew Fischer, a écrit, en faisant référence au vice-président senior du marketing mondial d’Apple, Greg Joswiak, et aux responsables des relations publiques d’Apple, Tom Neumayr et Christine Monaghan. L’e-mail poursuit :

Si c’est le cas, Dale Bagwell, de notre équipe Customer Experience, sera chargé de gérer ce problème de notre côté. Notez que cela posera quelques problèmes en termes de localisation linguistique de l’e-mail, puisque les téléchargements de ces applications ont eu lieu dans une grande variété de magasins App Store à travers le monde (par exemple, nous ne voudrions pas envoyer un e-mail en anglais à un client qui a téléchargé une ou plusieurs de ces applications à partir de l’App Store du Brésil, où le portugais brésilien serait la langue la plus appropriée).

Environ 10 heures plus tard, M. Bagwell évoque la logistique nécessaire pour notifier les 128 millions d’utilisateurs concernés, localiser les notifications dans la langue de chaque utilisateur et  » inclure avec précision  » les informations relatives à l’utilisation de l’application.[ing] les noms des applications pour chaque client ».

Hélas, tout porte à croire qu’Apple n’a jamais donné suite à ses projets. Un représentant d’Apple n’a pu fournir aucune preuve qu’un tel courriel ait jamais été envoyé. Les déclarations que le représentant a envoyées en arrière-plan – ce qui signifie que je ne suis pas autorisé à les citer – indiquaient qu’Apple a plutôt publié seulement ce message maintenant supprimé.

Le message fournit des informations très générales sur la campagne d’applications malveillantes et ne liste finalement que les 25 applications les plus téléchargées. « Si les utilisateurs possèdent l’une de ces applications, ils doivent mettre à jour l’application concernée, ce qui permettra de résoudre le problème sur l’appareil de l’utilisateur », indique le message. « Si l’application est disponible sur [the] App Store, elle a été mise à jour, si elle n’est pas disponible, elle devrait être mise à jour très prochainement. »

Les infections ont été causées par des développeurs légitimes qui ont écrit des applications en utilisant une copie contrefaite de l’algorithme de l’App Store. Xcode l’outil de développement d’applications iOS et OS X d’Apple. L’outil reconditionné, surnommé XcodeGhost, insère subrepticement du code malveillant à côté des fonctions normales de l’application.

À partir de là, les apps obligeaient les iPhones à se rapporter à un serveur de commande et de contrôle et à fournir diverses informations sur l’appareil, notamment le nom de l’app infectée, l’identifiant du pack d’apps, des informations sur le réseau, les détails de l' »identifiantForVendor » de l’appareil, ainsi que le nom, le type et l’identifiant unique de l’appareil.

XcodeGhost se vante d’être plus rapide à télécharger en Chine, comparé à Xcode disponible chez Apple. Pour que les développeurs puissent exécuter la version contrefaite, ils auraient dû cliquer sur un avertissement émis par Gatekeeper, la fonction de sécurité de macOS qui exige que les applications soient signées numériquement par un développeur connu.

L’absence de suivi est décevante. Apple a longtemps donné la priorité à la sécurité des appareils qu’elle vend. Il a également fait vie privée une pièce maîtresse de ses produits. Informer directement les personnes concernées par ce manquement aurait été la bonne chose à faire. Nous savions déjà que Google n’informe généralement pas les utilisateurs lorsqu’ils téléchargent des applications Android malveillantes ou Extensions pour Chrome. Nous savons maintenant qu’Apple a fait la même chose.

L’e-mail n’est pas le seul à montrer que les dirigeants d’Apple règlent les problèmes de sécurité. A distinct envoyé à Phil Schiller, membre d’Apple, et à d’autres personnes en 2013 a transmis une copie de la Article d’Ars titré « Seemingly Benign ‘Jekyll’ App Passes Apple Review, Then Becomes ‘Evil' ».