"C'est un fait peu connu d'Apple que, malgré leurs assurances, n'importe quel application téléchargée à partir de l'App Store à un Iphone classique peut accéder à une quantité conséquente d'informations personnelles. Ce livre explique quels sont les données à risque, et comment les obtenir via un programme sans l'aval de l'utilisateur. Ces données peuvent inclure des numéros de téléphone, la configuration d'un adresse mail (mot de passe inclus), les caches d'entrées clavier, les recherches Safari et la géolocalisation la plus récente.
(...) Ce livre commence par définir la sécurité et présente une vue globale des problèmes de sécurité passés d'Iphone. Par la suite il examine les appareils non-modifiés, et confirme quels données sensible peuvent être compromis par une application téléchargée de l'App Store. Parce que croire, c'est voir, le code source d'un concept prouvé d'application néfaste a été rendu visible au public. Ce livre cherche à expliquer comment une application néfaste peut être construite afin de berner les procédures de vérification d'Apple, et de passer sur l'App Store.
Enfin, ce livre présente plusieurs exemples d'attaques, suggére des améliorations et livre des recommendations basiques."
Version originale :
"It is a little known fact that, despite Apple’s claims, any applications downloaded from the App Store to a standard iPhone can access a significant quantity of personal data. This paper explains what data are at risk and how to get them programmatically without the user’s knowledge. These data include the phone number, email accounts settings (except passwords), keyboard cache entries, Safari searches and the most recent GPS location.
(...) This paper starts by defining privacy and presenting an overview of past iPhone privacy issues. Next, it specifically considers the unmodified devices and examines what sensitive data may be compromised by an application downloaded from the App Store. Because seeing is believing, the source code of a proof-of-concept malicious application was made available publicly. This paper goes on to explain how a malicious application could be crafted to fool Apple’s mandatory reviews in order to be accepted on the App Store.
Finally, it discusses several attack scenarios, tries to suggest improvements and delivers basic recommendations.