Un ado de 15 ans gruge Apple avec du tethering tapi dans une appli ultra-banale

Oh, Nick Lee, petit malin.

Voyez-vous, Nick a réussi à blouser Apple avec une appli pour iPhone extrêmement simple: Handy Light.

En apparence, elle ressemblait à toutes les autres applis de lampe torche à 0,99€. Mais secrètement, elle était beaucoup plus utile.

A première vue, l’appli Handy Light vous permettait simplement d’éclairer tout votre écran pour transformer votre iPhone en lampe torche. Une palette de couleurs vous permettait de choisir la couleur désirée. Une appli parmi tant d’autres, comme il en existe des centaines. Du moins c’est ce qu’ont cru les testeurs d’applis de l’App Store.

How a Guy Tricked Apple With a  Disguised iPhone Tethering App

A l’intérieur de l’appli se dissimulait une autre appli beaucoup plus utile, permettant le tethering: vous pouviez ainsi transformer à bon compte votre iPhone en modem 3G, de manière à pouvoir surfer sur le web depuis votre ordinateur connecté à l’iPhone. Le tout sans avoir à payer le supplément généralement exigé par les opérateurs pour pouvoir bénéficier de cette fonctionnalité.

L’appli fonctionnait très bien. Trop bien même car la véritable nature de cette appli n’a pas tardé à être diffusée sur la toile, entraînant sa suppression immédiate d’iTunes.

Une jolie histoire avec une triste fin. Espérons que cela donnera des idées à d’autres. [App Shopper, MacRumors, Forbes, AppStore HQ]

Tags :
Dernières Questions sur UberGizmo Help
  1. « Espérons que cela donnera des idées à d’autres. » … voici une phrase très ambigüe ! lol

    Des app comme ça, oui ! Mais les motivations risques d’être d’autre nature.

  2. ah pas mal et facile à mettre au point, je le ferais bien mais j’ai peur qu’apple bloque mon compte développeur voir engage des poursuites contre moi :/

  3. Ca montre bien une chose, c’est que la validation sur l’appstore ne protège aucunement l’utilisateur. Même si là il n’y avait pas de de risque.

    C’est plus pour s’assurer de ne pas avoir des applis trop laide et qui fonctionnent ou pour s’assurer que ça n’a pas été cross-compilé et c’est un peu dommage.

    Ce serait pas mal de savoir exactement ce qui est testé avant la validation (capture de paquet pour voir ce qui transite sur le réseau, vérification du code, …), une enquête pour gizmodo ? (si Apple accepte encore le dialogue avec vous ^^)

  4. @célabien tu peut faire tout ce que tu veut, impossible de faire une application malveillante, apple nous réserve pour chaque app une sandbox dans l’iphone, c’est à dire un bac à sable, l’appli ne peut pas accéder à l’iphone lui même ou le modifier, tout ce qu’elle peut faire c’est demander à l’iphone des infos : id iphone, date, heure, etc … pas plus :)

    En gros ton appli est dans une cellule d’une prison appelé iPhone et tout ce qu’elle peut faire c’est demander aux gardes quelques infos basiques, par contre elle peut faire tout ce qu’elle veut dans sa cellule.

    Der truc : contrôle paquet impossible car un petit cryptage suffit pour l’empecher.

  5. @john : merci pour ces précisions, mais je me questionne toujours. :p

    A priori sa protège de la modification de l’os, mais par contre j’imagine qu’on peut très bien accéder au carnet d’adresse en faisant appel aux API qui vont bien, non ?

    Là dans le cas de l’appli du monsieur, il a réussi a activer une fonction qui est normalement bridée en fonction de l’opérateur, c’est qu’apple ne doit pas bien faire attention aux différentes API appelées par le programme pendant la validation, normalement avec un debugger, ils devraient pourtant voir que l’application fait appel à autre chose que les fonctions d’affichage.

    Bon j’avoue ce serait un travail de dingue de vérifier de fond en comble toutes les applis, et ce ne serait pas forcement rentable 😀

  6. Il existe nombre d’appli de ce genre et autres joyeusetés sur le net, mais quand on on casse les règles 1 & 2 pour frimer sur des blogs « à gros tirage » les bons plans foutent le camps.

  7. Et dire que sur les autres téléphones on peu le faire sans forcément avoir de forfait spécifique. L’iPhone a entraîné des usages qui existaient bien avant. Les opérateurs ont compris qu’il y avait plein de pigeons à plumer et à leur faire cracher les euros. Tant mieux.

  8. @célabien
    oui on peut accéder au carnet d’adresse, aux photos, etc … mais ca nécessite l’interaction de l’utilisateur (tu choisis, tu touche des icones , etc ..), cette interaction est traitée par une classe (sorte de mini programme pour vulgariser) qui est dans l’os et pas dans l’app, ce qui fait que c’est impossible de récupérer photo et carnet d’adresse sans que la grosse fenêtre de l’iphone ne s’ouvre en vous invitant à choisir un contact ou une photo.

    Et c’est là l’intérêt de la sandbox, sous windows par exemple ou il n y a pas ce système, le hacker peut accéder tout simplement au gestionnaire du clavier et souris et simuler un comportement spécifique de l’utilisateur sans que ca n’apparaisse sur l’écran ni que l’utilisateur en soit informé.

  9. @ Dé²
    Oui c’est bien 15 ans…

    C’est ce qui arrive quand on pompe une news sur un site anglais (Giz US ? flemme de vérifier) et qu’on prend même pas la peine de le traduire « à la main ».

  10. Oui je suis très très intéressé par cette appli !

    Elle fonctionne comme « iphonemodem » ?

    Si qq’un a la gentillesse de me la faire parvenir ! !

  11. Oui peut être qu’il y a une sandbox mais si on a un iPhone JailBreaker il faut changer le mot de passe SSH sinon on peut facilement se faire hacker =/

  12. Cela montre surtout qu’Apple est cul et chemise avec le Cartel des opérateurs téléphonique. Tout pour le fric, c’est la devise d’Apple, ne l’oubliez jamais.

  13. Je comprend pas il est ou les problème sur mon N900 j’ai une application pour faire sa et c’est pas interdit non? ou c’est encore un truc débile de la politique d’Apple?

  14. @airtux : c’est interdit par quasiment tous les opérateurs car ils vendent des clefs 3g.
    En générale les logiciels qui le font et qui sont bien foutu te change ton user agent (une sorte de signature propre à chaque type de navigateur) à la volée afin que l’opérateur ne puisse pas détecter la chose.

    Si l’opérateur s’en rend compte c’est compté en hors forfait data.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité