Il y a toujours un trou dans la raquette de l'équipe de vérification dédiée au Mac App Store. Un récent rapport du chercheur en sécurité Alex Kleber met en lumière plusieurs applications ayant réussi à tromper la vigilance de Cupertino. L'une d'entre elles (« PDF Reader for Adobe PDF Files ») s'est même placée sur le podium des apps les plus téléchargées de la boutique aux États-Unis.
Le rapport pointe 7 applications diffusées via autant de comptes Apple différents, mais appartenant apparemment au même développeur chinois. Celui-ci a utilisé plusieurs combines afin de feinter les vérifications de la Pomme : l'une d'entre elles consiste à présenter un programme avec une certaine interface utilisateur, avant de la changer une fois le tout validé et mis en ligne. Pour ce faire, le développeur utilise du code permettant à l'app de recevoir des commandes depuis un serveur externe.
Plusieurs indices permettent à Alex Kleber d'affirmer que le même développeur se cache derrière ces apps. Chacune d'entre elles a recours à un site gratuit de Google pour héberger sa politique de confidentialité. De plus, elles utilisent toutes un mot de passe identique pour décrypter un fichier JSON servant à tromper l'équipe de vérification. D'autres schémas récurrents et mots de passe similaires viennent confirmer la théorie.
Une fois installées sur un Mac, les applications ne proposent pas grand-chose à l'utilisateur et incitent rapidement à passer sur un onéreux abonnement Premium. Si la Pomme a supprimé les programmes mentionnés depuis la sortie du rapport, le problème des apps frauduleuses sur le Mac App Store n'est pas nouveau. En 2016, un de nos lecteurs avait par exemple détecté un faux antivirus… à l'aide de Malwarebytes.
De faux antivirus dans le Mac App Store détectés par un vrai antivirus
Dernier élément intéressant : les apps se sont fait connaître grâce à de nombreux faux avis laissés sur la plateforme d'Apple. Ceux-ci ont visiblement le temps de proliférer avant que Cupertino ne passe un coup de balai, l'un des programmes frauduleux mentionnés aujourd'hui comptant plus de 600 avis. On peut imaginer que ces faux retours d'expérience sont achetés en gros sur des sites peu scrupuleux. Ils permettent aux fausses apps de se faire une belle visibilité dans certaines niches, tout en réduisant les chances des développeurs honnêtes de vendre leur produit.