Charlie Miller découvre une faille de sécurité

Apple actualité Charlie Miller, chercheur en sécurité, vient de découvrir une faille de sécurité sous iOS pour le moins inquiétante, puisqu'elle permet d’exécuter du code non autorisé par Apple.

Pour la petite histoire, notre homme a soumis son application Instastock au système de validation d'Apple, qui acceptera de la publier sur l'App Store. Or, l'application qui en apparence ne permet que de suivre le cours de la bourse, peut en réalité télécharger et exécuter des morceaux des lignes de code à distance, sans qu'Apple n'ai pu les voir lors de la validation.

Il est alors possible par ce stratagème de prendre le contrôle des iDevice ayant installé Instastock, pour par exemple, récupérer des données confidentielles, comme on peut le voir dans cette vidéo :

Lien vers la vidéo

S'étant rendu compte de la "supercherie", Apple a retiré Instastock de l'App Store en un temps record et a même fermé le compte développeur de Charlie Miller, qui lui avait pourtant été offert par la firme pour faire des tests.

Il semblerait que la faille soit apparue dans l'iOS 4.3, et qu'elle soit liée à Safari et au JavaScript. En attendant qu'Apple corrige le tir, Charlie Miller n'en dira pas plus mais fera tout de même une démonstration lors de la conférence SysCan, la semaine prochaine à Taiwan.

Commentaires

1. mardi 08 nov 2011 à 18h01 : Alex - version iPod touch Répondre

Un pru compliqué ...

2. mardi 08 nov 2011 à 20h07 : Totor Répondre

À 2:24, il a Rickrolled tous ceux qui utilisent l'app!!

3. mardi 08 nov 2011 à 20h52 : Alex - version iPod touch Répondre

Ca vt dire quoi

4. mardi 08 nov 2011 à 21h03 : TeBeyX - version iPhone Répondre

Il nous montre comment une application qui a passer la validation Apple. Installer sur un idevice permet a distance s'exécuter des lignes de commandes même si l'iPhone et en veille, dans la video il exécute une commande qui fait vibrer l'iPhone et une autre qui permet de télécharger le carnet d'adresse.

Que l'app le permette rien d'etonnant mais qu'elle sois passer a travers la validation d'Apple ça c'est inquiétant.

Quelqu'un pourrais me confirmer si firewallip pourrais protéger de cette faille ?

5. mardi 08 nov 2011 à 22h40 : FOALS - version iPhone Répondre

Moi ce qui m'intéresse, c'est de savoir comment Apple a remarqué la supercherie si vite?

6. mardi 08 nov 2011 à 22h53 : Lain - version iPhone Répondre

@FOALS - version iPhone

Sur un autre site j'ai lu qu'il avait prévenue apple de la faille en question

7. mercredi 09 nov 2011 à 01h11 : FOALS - version iPhone Répondre

@Lain - version iPhone

Ha, il est honnête au moins...
Mais c'est inquiétant...

8. mercredi 09 nov 2011 à 11h49 : TeBeyX - version iPhone Répondre

Faille corrigé dans iOS 5.0.1
Source: @Pod2g

9. mercredi 09 nov 2011 à 16h24 : Bimboul - version mobile Répondre

salut a tous moi je vois surtout que cet abruti nous enleve la possibilite du jb untethered il faut des faille pour qu'il puisse y'avoir jb

10. mercredi 09 nov 2011 à 22h27 : Pierre - version iPhone Répondre

Juste il n'a pas mentionné qu'il sera impossible de jbker... Il a dit que la faille permettait un jbke plus simple. Ce sera donc plus compliquer soit, mais pas impossible !

Ajouter un commentaire

Pseudo

Site Web (facultatif)

Image (facultatif)
(gif, jpg ou png)

Commentaire Tout message ne respectant pas ces règles sera supprimé : - Rester dans le sujet de l'article - Ne pas écrire en majuscule - Respecter les autres membres ainsi que les rédacteurs - Pas de pubs ni de lien de parrainage - Pas de spam En cas de problème, vous pouvez consulter notre forum : forum.iphonesoft.fr Pour toute suggestion, merci de nous contacter via le formulaire sur le site, ou par mail à contact (at) iphonesoft.fr (la modération se réserve le droit de suppression)

ir6
Recopiez le code indiqué ci-dessus

Se souvenir de mes informations

Je veux recevoir les informations importantes d'iPhonesoft

iPhoneSoft