Charlie Miller découvre une faille de sécurité dans iOS 4.3

Charlie Miller, chercheur en sécurité, vient de découvrir une faille de sécurité sous iOS pour le moins inquiétante, puisqu'elle permet d'exécuter du code non autorisé par Apple.

Pour la petite histoire, notre homme a soumis son application Instastock au système de validation d'Apple, qui acceptera de la publier sur l'App Store. Or, l'application qui en apparence ne permet que de suivre le cours de la bourse, peut en réalité télécharger et exécuter des morceaux des lignes de code à distance, sans qu'Apple n'ai pu les voir lors de la validation.

Il est alors possible par ce stratagème de prendre le contrôle des iDevice ayant installé Instastock, pour par exemple, récupérer des données confidentielles, comme on peut le voir dans cette vidéo :




S'étant rendu compte de la "supercherie", Apple a retiré Instastock de l'App Store en un temps record et a même fermé le compte développeur de Charlie Miller, qui lui avait pourtant été offert par la firme pour faire des tests.

Il semblerait que la faille soit apparue dans l'iOS 4.3, et qu'elle soit liée à Safari et au JavaScript. En attendant qu'Apple corrige le tir, Charlie Miller n'en dira pas plus mais fera tout de même une démonstration lors de la conférence SysCan, la semaine prochaine à Taiwan.

Vous aimerez peut-être

Nos derniers articles

Suivez-nous avec notre app iSoft
Articles populaires
Donner votre avis
Les réactions

10 Pierre - iPhone

09/11/2011 à 22h27 :

Juste il n'a pas mentionné qu'il sera impossible de jbker... Il a dit que la faille permettait un jbke plus simple. Ce sera donc plus compliquer soit, mais pas impossible !

9 Bimboul - mobile

09/11/2011 à 16h24 :

salut a tous moi je vois surtout que cet abruti nous enleve la possibilite du jb untethered il faut des faille pour qu'il puisse y'avoir jb

8 TeBeyX - iPhone

09/11/2011 à 11h49 :

Faille corrigé dans iOS 5.0.1
Source: @Pod2g

7 FOALS - iPhone

09/11/2011 à 01h11 :

@Lain - iPhone

Ha, il est honnête au moins...
Mais c'est inquiétant...

6 Lain - iPhone

08/11/2011 à 22h53 :

@FOALS - iPhone

Sur un autre site j'ai lu qu'il avait prévenue apple de la faille en question

5 FOALS - iPhone

08/11/2011 à 22h40 :

Moi ce qui m'intéresse, c'est de savoir comment Apple a remarqué la supercherie si vite?

4 TeBeyX - iPhone

08/11/2011 à 21h03 :

Il nous montre comment une application qui a passer la validation Apple. Installer sur un idevice permet a distance s'exécuter des lignes de commandes même si l'iPhone et en veille, dans la video il exécute une commande qui fait vibrer l'iPhone et une autre qui permet de télécharger le carnet d'adresse.

Que l'app le permette rien d'etonnant mais qu'elle sois passer a travers la validation d'Apple ça c'est inquiétant.

Quelqu'un pourrais me confirmer si firewallip pourrais protéger de cette faille ?

3 Alex - iPod touch

08/11/2011 à 20h52 :

Ca vt dire quoi

2 Totor

08/11/2011 à 20h07 :

À 2:24, il a Rickrolled tous ceux qui utilisent l'app!!

1 Alex - iPod touch

08/11/2011 à 18h01 :

Un pru compliqué ...