[Update] L’App Store piraté?

0Simon Ganiere • 4th Jul 2010 • News • appstore, itunes, phishing

Il semblerait quand ce dimanche après-midi un hacker aurait réussi à profiter d’une vulnérabilité dans l’AppStore pour accéder à plusieurs dizaines de compte utilisateurs et effectué des achats massifs afin d’améliorer le classement de ces applications.

Les premières plaintes sont arrivées via Twitter et certains sites américains auraient identifié le problème. Il proviendrait d’un compte appartenant à un certain Thuat Nguyen dans l’entreprise “mycompany” (!), ayant comme site internet: home.com (!). Ce compte est utilisé pour vendre des mangas japonais. Voici un exemple avec le manga de Conan 3. Vous remarquerez que certains commentaires fait déjà mention du problème.

L’autre chose étonnante, et qui démontre qu’il s’agit d’une attaque assez bien organisée, c’est le nombre d’applications de “mycompany” qui sont en tête des ventes:

À cout de 4.99$ par application et vu le nombre de ventes qu’il faut pour se retrouver en tête du classement un bon nombre d’utilisateurs ont du se faire pirater leur compte. À première vue cette situation ne se retrouve que sur le store américain, malgré le fait que ces applications sont également disponibles sur d’autre AppStore (notamment l’AppStore Suisse) [voir update en bas de la news].

Je pense que la réaction d’Apple ne devrait pas se faire attendre et ce développeur devrait se faire bloquer son compte. Mais il reste à savoir comment il est possible d’accéder à autant de compte iTunes et dans quelle mesure le monitoring d’Apple concernant les achats d’applications n’auraient pas du sonner l’alarme plus rapidement.

[Update] Voici quelques informations supplémentaires:

• Cette situation n’est pas limitée à l’AppStore US, il se trouve que la majorité des AppStore seraient touchés
• Le schéma de base de l’attaque serait de récupérer le mot de passe via du phishing puis d’acheter quelques applications à bas prix et une application bien plus coûteuse. Il semblerait que les montants se situent entre 100 et 160$.
• Le 4 juillet est une date feriée au US et un weekend prolongé pour cause de fête national. Cela pourrait avoir comme conséquence de ralentir la réponse d’Apple. Qui d’ailleurs n’a pas encore officiellement répondu, outre la recommendation de changer de mot de passe et de vérifier l’historique de vos achats.