Question:
Dois-je m'inquiéter de l'apparition d'une nouvelle application iPhone étrange après la réparation?
Rafi Rosa
2018-03-27 21:34:48 UTC
view on stackexchange narkive permalink

J'ai fait remplacer la batterie de mon iPhone dans un atelier de réparation de téléphones. Après l'avoir collecté, j'ai remarqué qu'une étrange nouvelle application était installée, un navigateur Web "chinois". Il n'a pas de nom alphanumérique et rien dans l'interface n'était en anglais.J'ai parlé avec le technicien qui a remplacé la batterie et il a dit qu'ils n'avaient rien fait avec le téléphone, ne l'ont même pas connecté à un PC.

Dois-je m'inquiéter? Il contient de nombreuses données sensibles, il n'a jamais été jailbreaké, je n'ai jamais visité de sites suspects dessus et je ne l'ai connecté à aucun PC autre que mon fidèle ordinateur portable.

Vous êtes déjà inquiet, c'est pourquoi vous demandez.Et à juste titre.Une meilleure question serait: * Que dois-je faire ensuite? *
Vous avez fait une sauvegarde complète * avant * d'aller au magasin, non?Je l'effacerais, restaurerais la sauvegarde et ne ferais plus jamais confiance à ce magasin si la restauration ne restaure pas l'application suspecte.
@JanDoggen Pour être juste, il ne demande pas s'il est concerné, mais s'il a raison de s'inquiéter.
Pour les curieux d'entre nous, pourriez-vous prendre une capture d'écran de l'icône et de l'interface de l'application?Nous pourrons peut-être au moins identifier l'application en question.
Où est-ce arrivé?Les applications chinoises sont-elles normales là-bas?
Une batterie peut-elle être utilisée pour backdoor un téléphone?En théorie, je pourrais l'imaginer (qui sécurise le protocole de la batterie du système d'exploitation?), Mais si c'était courant, je m'attendrais à ce qu'il soit trouvé sur Google.
@Mawg Je vis en Irlande, les applications chinoises sont très inhabituelles ici.Comme je l'ai mentionné dans les commentaires, ce n'est même pas dans la liste des applications achetées lorsque j'entre mon profil dans l'App Store.
Avez-vous vérifié qu'il s'agit d'une application et non d'une `` application Web '', également appelée raccourci d'écran d'accueil?
@twisteroidambassador Je suis désolé, j'ai un peu paniqué et quand le gars du magasin a suggéré de simplement le supprimer, je l'ai fait sans réfléchir.Voici le lien vers l'icône que j'ai trouvé qui a la même apparence, [lien] (https://images-na.ssl-images-amazon.com/images/I/718-HpvIPaL.png) Je suppose que c'est UC Browser.Comme je l'ai mentionné, tout était en chinois, y compris le nom de l'application.
@Qsigma Je ne l'ai pas fait, et comme il a disparu maintenant, y a-t-il un moyen de savoir ce que c'était?
Version du téléphone?Version iOS?[Jailbreaks, 2007 à aujourd'hui] (https://en.wikipedia.org/wiki/IOS_jailbreaking#By_device_and_iOS_version,_2007-present)
AilikjoycbCMT IPhone 5s, IOS 11.2.6
Pourriez-vous ajouter une capture d'écran?De préférence en allumant l'appareil * sans carte SIM * et loin de tout réseau Wi-Fi connu (ou en modifiant votre mot de passe Wi-Fi pour que l'appareil compromis ne puisse plus s'y connecter).
Avez-vous déverrouillé / leur avez-vous donné votre mot de passe?(Tu ne devrais faire ni l'un ni l'autre)
@Antzi Pas nécessaire de leur donner votre mot de passe, mais uniquement votre code PIN.Ils peuvent se connecter avec un autre utilisateur et installer une application comme je l'ai dit dans ma réponse.
Dix réponses:
Anders
2018-03-27 22:13:17 UTC
view on stackexchange narkive permalink

À moins que vous ne puissiez trouver une autre explication de la façon dont cela s'est produit, il semble que votre téléphone a été infecté par un logiciel malveillant. Il nous est impossible de dire si l'infection est le résultat de quelque chose que l'usine a fait ou de quelque chose que vous avez fait. Quoi qu'il en soit, vous devriez être très inquiet. Je recommande la marche à suivre suivante:

  • Faites une sauvegarde de toutes les données que vous avez sur le téléphone. (La sauvegarde peut être infectée, consultez cette question, mais si vous n'avez pas de sauvegarde antérieure, vous devez soit prendre le risque, soit perdre vos données.)
  • Effectuez une réinitialisation d'usine complète , en essuyant le téléphone.
  • Modifiez les mots de passe qui ont été stockés ou saisis sur l'appareil.

Si vous ne voyez qu'une seule application, il se peut que ce soit un symptôme d'une infection plus profonde. La suppression de l'étrange application chinoise peut ne pas suffire.

Je ne vois pas vraiment comment cette application a été installée sur mon iPhone, elle n'apparaît pas dans la liste des achats de mon compte Apple et je n'ai installé aucune application depuis au moins un mois.De quelles manières il aurait pu être infecté?
@RafiRosa Pour être honnête, je ne pense pas que vous serez jamais en mesure de dire avec certitude d'où il vient.Mais à la fin, ce que vous devez faire est la même chose: une réinitialisation d'usine.
@RafiRosa Vous pouvez charger des applications qui possèdent des certificats signés Apple valides.Sinon, ils jailbreakent votre téléphone pour vous.
@Rafi Rosa Il est possible que l'application ait été compilée directement depuis XCode sur votre téléphone ou en utilisant TestFlight.Outre le jailbreak, c'est la seule façon dont les applications non approuvées peuvent être installées sur votre téléphone.Cela signifie à peu près que vous devez cesser d'utiliser votre téléphone et l'essuyer dès que possible.
@Anders J'ai effectué une réinitialisation d'usine complète de mon téléphone et changé tous les mots de passe que j'ai utilisés lors de son utilisation.Après cela, toutes les applications que j'ai précédemment installées ont été restaurées par iPhone et tous mes fichiers ont été stockés sur iCloud, est-ce tout ce que je peux faire?
@RafiRosa Cela semble être une bonne stratégie.
@Caimen pour passer directement de XCode au téléphone nécessite l'installation de certificats spécifiques à l'appareil sous l'identifiant Apple connecté - il peut y avoir un moyen de vérifier l'appareil sous iTunesConnect (?).
Étant donné que les opérateurs de téléphonie poussent souvent des applications dans le téléphone sans le consentement du propriétaire réel (c'est ainsi que T-Mobile a été pris en flagrant délit d'installer leurs applications dans mon téléphone), je suggérerais qu'une autre possibilité est qu'un client paie l'opérateur pour pousser * leur *app dans le téléphone des gens.(Ou peut-être avons-nous juste besoin d'attendre et de voir si un opérateur apparaît dans les nouvelles comme étant violé et que ses fonctionnalités sont utilisées pour compromettre les utilisateurs finaux.)
@ray Ce n'est pas une chose sur iOS.Les opérateurs n'ont pas de contrôle sur les mises à jour du micrologiciel et ne peuvent pas forcer l'installation d'applications.
The-Baddy
2018-03-27 23:32:03 UTC
view on stackexchange narkive permalink

Je serais très inquiet. Une chose que j'ai apprise sur la sécurité, au cours de toutes les années où j'ai essayé de la comprendre, c'est que si vous n'avez pas mis quelque chose là-bas, quelqu'un d'autre l'a fait, et si vous ne savez pas ce que cela fait, alors la seule chose à faire est de réinitialiser, de réinstaller et d'être satisfait de tout. Si vous ne savez pas pourquoi ce logiciel est là, soyez assuré que quelqu'un l'a mis là pour une raison et c'est peut-être une bonne raison, mais ce n'est pas votre bonne raison, donc si ce téléphone était le mien Je sauvegarderais toutes mes données, et uniquement mes données, et je les réinitialiserais complètement.

Nath
2018-03-28 07:29:18 UTC
view on stackexchange narkive permalink

Oui, et soyez préoccupé par plus que votre téléphone.

Je ne peux pas imaginer une situation où une application a été installée sans votre code PIN / mot de passe. sans qu'ils ne brisent d'abord la prison ou ne compromettent considérablement le système d'exploitation de votre téléphone. Je pense que la seule hypothèse sûre est que tout ce à quoi votre téléphone avait accès, ils avaient également accès.

Donc, tout compte auquel votre téléphone a accès est suspect. En particulier, tout compte de messagerie que vous avez configuré. Recherchez les e-mails de réinitialisation de mot de passe, vérifiez vos articles envoyés, etc. Si vous avez une application financière (banque, etc.), vérifiez les transactions impaires, etc.

Si tout va bien, je suivrais les conseils de d'autres en termes de réinitialisation du téléphone, mais aussi d'aller au-delà du téléphone et de réinitialiser tous vos mots de passe importants, etc.

Malheureusement, il est assez courant pour les ateliers de réparation de demander le code PIN pour se connecter et vérifier toutes les fonctionnalités matérielles après l'ouverture du boîtier, juste au cas où ils auraient perdu quelque chose (appareil photo, GPS, Bluetooth, etc.) qui n'est pas détectable sur une serrureécran.Je vais dans un magasin à proximité qui effectuera des réparations pendant que vous attendez afin que je puisse me connecter pour qu'ils vérifient pendant que je regarde, mais j'ai vu de nombreux clients abandonner le code PIN sans une pause.
allo
2018-03-28 13:50:24 UTC
view on stackexchange narkive permalink

Le point le plus préoccupant est que l'employé de l'atelier de réparation prétend ne rien savoir à ce sujet.

L'application peut ou peut ne pas fonctionner. Si quelqu'un dans l'atelier de réparation installe une nouvelle application, c'est-à-dire pour tester si l'installation fonctionne à nouveau, cela peut être un problème, mais ce n'est pas obligatoire.

Mais s'il vous dit qu'il ne le sait pas il, soit un logiciel malveillant l'a installé, soit il vous ment. Et de toute façon, vous ne pouvez plus faire confiance au téléphone pour ne pas être infecté par quelque chose qui devrait vous inquiéter.

À moins que l'employé qui ne savait pas travaillait simplement à la caisse enregistreuse et ne savait pas que les réparateurs à l'arrière installaient régulièrement des applications d'aide et les supprimaient une fois la réparation terminée (et oublié cette fois).Dans tous les cas, restaurez à partir de la sauvegarde
Cela pourrait valoir la peine de le signaler également à la police afin qu'elle puisse envoyer quelqu'un en civil pour faire une enquête s'il a la volonté et les ressources (bien que ce ne soit pas le cas)
C'était ma première pensée, que c'était un logiciel qui restait pour tester la batterie, mais le gars qui l'a réparée a dit qu'elle était déjà là et qu'elle n'avait rien à voir avec elle.
C'est un problème s'ils ont déverrouillé le téléphone, même pour un test.
C'est un problème pour nous, les gens soucieux de la sécurité, mais la plupart des gens et la plupart des réparateurs n'y voient pas de problème.Et souvent, ils ont raison et toutes les personnes ayant des droits d'accès ne font pas de mauvaises choses.Mais quand ils ne disent pas la vérité par la suite, la confiance est partie.
CPHPython
2018-03-29 14:23:22 UTC
view on stackexchange narkive permalink

quand le gars du magasin a suggéré de simplement le supprimer, je l'ai fait sans réfléchir. Voici le lien vers l'icône que j'ai trouvé qui a le même aspect, je suppose que c'est UC Browser. Comme je l'ai mentionné, tout était en chinois, y compris le nom de l'application. - Rafi Rosa

Oui, c'était UCBrowser. Il s'agit d'un navigateur populaire en Chine (puisque Google Play / Services ne sont pas disponibles là-bas), la plupart des téléphones chinois sont livrés avec ce navigateur pré-installé.

Je pense que c'était peut-être un moyen pour le réparateur de tester le téléphone dans une application familière ... UCBrowser s'est avéré présenter plusieurs failles qui permettraient à d'autres d'exploiter, mais elles ne se produiraient principalement que si vous utilisiez réellement le navigateur.

J'ai effectué une réinitialisation d'usine complète de mon téléphone et modifié tous les mots de passe que j'ai utilisés lors de son utilisation. Après cela, toutes les applications que j'ai précédemment installées ont été restaurées par iPhone et tous mes fichiers ont été stockés sur iCloud, est-ce tout ce que je peux faire? - Rafi Rosa

Je pense que vous avez bien fait. Même s'il ne s'agissait que d'une application que le réparateur avait décidé d'utiliser pour tester, il aurait peut-être fait beaucoup plus que simplement installer et utiliser le navigateur. Ne pas être honnête / franc sur ce qu'ils ont vraiment fait quand ils avaient juste besoin de réparer une batterie n'est certainement pas professionnel.

Une réinitialisation d'usine et un changement de mot de passe devraient être suffisamment sûrs concernant vos données. Si le magasin ne dispose pas de moyens de tirer profit du remplacement d'autres matériels de votre téléphone, vous ne remarquerez aucune différence. Cependant, si vous avez besoin d'être complètement sûr de son intégrité, peut-être qu'un Apple Store certifié peut effectuer une vérification et vous dire ce qui a vraiment changé (pas sûr s'ils le font cependant).

DoubleD
2018-03-29 23:37:50 UTC
view on stackexchange narkive permalink

Je n'ai pas vu cela abordé dans les réponses précédentes, alors j'ai pensé ajouter:

Si vous voulez abandonner le contrôle de votre appareil, vous devez effectuer une sauvegarde et une réinitialisation d'usine au préalable. Vous devez le réinitialiser à nouveau, puis restaurer votre sauvegarde à son retour. Cela ne prend que quelques secondes pour copier vos fichiers ou installer des logiciels malveillants.

Il est trop tard dans ce cas, mais le mystère de «ce qui s’est passé» s’applique à chaque fois qu’il laisse votre contrôle - pas seulement temps parce que vous avez remarqué quelque chose de mal. Les intrus essaient généralement d'éviter la détection, donc une bonne intrusion serait imperceptible.

brichins
2018-03-29 01:47:57 UTC
view on stackexchange narkive permalink

Comme déjà indiqué, tout ce qui est fait sur votre téléphone hors de votre vue est certainement préoccupant et vaut probablement la peine d'être restauré à partir d'une sauvegarde, ainsi que de réinitialiser les mots de passe / 2FA pour tout ce qui est lié à ce téléphone.

Cependant, la manière exacte dont cette icône est apparue sur votre écran d'accueil en dirait beaucoup sur la gravité d'une violation et son inquiétude. Je peux penser à 2 options qui n'ont pas encore été abordées:

  1. Un employé a installé l'application, mais l'a supprimée de votre liste d'applications achetées. Vous pouvez consulter l'historique de vos achats sur iTunes pour vérifier si cela s'est produit, même pour une application gratuite.

  2. L'icône n'était pas réellement une application iOS installée, mais un site Web / une application Web progressive avec un signet qui a été épinglé à l'écran d'accueil pour une raison quelconque pour faciliter les diagnostics. Vous pourriez potentiellement vérifier cela en vérifiant votre historique Safari pour toute activité pendant le temps que votre téléphone était dans la boutique. Effacer l'historique / les cookies effacerait les pistes pour cela, mais si c'est ce qui s'est passé, alors l'application elle-même n'est pas vraiment une cause d'alarme.

Michael Elliott
2018-03-28 06:50:06 UTC
view on stackexchange narkive permalink

Oui, vous devriez vous inquiéter.

Effectuez une réinitialisation d'usine.

Si vous avez sauvegardé votre iPhone avant l'application, vous avez de la chance. Si vous ne l'avez pas fait, moins bien mais toujours préférable de l'essuyer et de recommencer.

Rui F Ribeiro
2018-03-30 07:04:05 UTC
view on stackexchange narkive permalink

si vous avez donné accès au téléphone au magasin, la nouvelle application peut ne pas figurer dans la liste des applications que vous avez achetées, simplement parce qu'un employé du magasin s'est déconnecté et l'a installée avec son utilisateur.

Néanmoins, je traiterais toujours le téléphone et les mots de passe utilisés / mis en cache comme potentiellement compromis.

Cependant, comme mentionné dans mon premier paragraphe, l'installation de l'application pourrait être juste une routine, et quelqu'un a oublié de la supprimer .

Egor
2018-03-31 21:12:23 UTC
view on stackexchange narkive permalink

Je vous recommande de remplacer votre téléphone au lieu de le réinitialiser. Le magasin a eu accès au matériel et au micrologiciel du téléphone et aurait pu les remplacer par des homologues malveillants en plus d'installer cette application.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...