5 failles sérieuses corrigées dans iOS 12.4, mais une restante

Des chercheurs en sécurité Google ont découvert six vulnérabilités sous iOS dites « à interaction nulle », comprenez qu'elles permettent à un attaquant de prendre le contrôle de l'iphone sans que l'utilisateur ait à faire autre chose que recevoir et ouvrir un message.

Cinq d'entre elles ont été corrigées dans iOS 12.4, mais Apple n'a pas encore été en mesure de bloquer complètement la sixième…

 

Les failles de sécurités de iMessage en détail

ZDNet rapporte que Google a publié une preuve de concept pour exploiter les bugs corrigés par Apple.

Deux membres de Project Zero, l'équipe de recherche de bogues d'élite de Google à qui l'ont doit notamment des failles pour le jailbreak, ont publié des détails et une démonstration d'un code d'exploitation pour cinq des six bogues de sécurité « sans interaction » qui affectent le système d'exploitation iOS et peuvent être exploités via le client iMessage.

Selon le chercheur, quatre des six problèmes de sécurité peuvent conduire à l'exécution de code malveillant sur un périphérique iOS distant, sans intervention de l'utilisateur. Tout ce qu’un attaquant doit faire est d’envoyer un message mal formé au téléphone de la victime. Le code malveillant s’exécutera une fois que l’utilisateur aura ouvert et visualisé l’élément reçu.

Les cinquième et sixième bogues permettent à un attaquant de faire fuir des données de la mémoire d’un périphérique et de lire des fichiers d’un périphérique distant, toujours sans interaction de l’utilisateur.

Bien qu'Apple ait tenté de supprimer les six vulnérabilités d'iOS 12.4, Google affirme que l'une d'entre elles n'a pas complètement été comblée.

Natalie Silvanovich, l’un des deux chercheurs de Google Project Zero qui a découvert et signalé le bogue, a expliqué que l’une des vulnérabilités « sans interaction » était restée confidentielle, car le correctif iOS 12.4 d’Apple n’a pas complètement résolu le problème.

Les détails des cinq exploits restants seront partagés lors de la conférence sur la sécurité Black Hat à Las Vegas la semaine prochaine. Conformément à la pratique responsable, Google a tout d'abord signalé les problèmes à Apple afin de lui permettre d'émettre des correctifs avant que l'équipe ne révèle les détails.

Les vulnérabilités « zéro interaction » sont particulièrement dangereuses. La plupart des exploits iOS et macOS incitent l'utilisateur à exécuter une application ou à révéler ses informations d'identification Apple. Une interaction zéro ne repose sur rien d’autre que l’ouverture d’un message. Silvanovich a déclaré que le message pourrait être envoyé par SMS, MMS, iMessage, Mail ou même Visual Voicemail.

De telles découvertes rapportent d’énormes sommes d’argent sur le marché noir, entreprises et gouvernements désireux de les acheter.

Ces vulnérabilités, lorsqu'elles sont vendues sur le marché noir, peuvent rapporter plus d'un million de dollars aux chasseurs de bogues, selon un tableau des prix publié par Zerodium. Il ne serait pas exagéré de dire que Silvanovich vient de publier des informations détaillées sur des exploitations d’une valeur supérieure à 5 millions de dollars.

Si vous n’avez pas encore mis à jour iOS 12.4, ce serait un bon moment pour le faire. Beaucoup de mauvais acteurs exploitent les vulnérabilités après leur publication, sachant qu’il existe un pourcentage élevé de propriétaires d’appareils qui ne mettent pas à jour rapidement.

Source

Vous aimerez peut-être

Nos derniers articles

Suivez-nous avec notre app iSoft
Articles populaires
Donner votre avis
Les réactions

4 stephcreas - iPhone

31/07/2019 à 08h59 :

@iSebw - iPhone premium
Vous devriez lire l'article … Sans eux apple ne s'en serait même pas rendu compte…

3 Pierre Deschamps - iPhone

31/07/2019 à 01h06 :

iOS 12.3 était de base une faille heureusement qu’ils ont viré cette purge

2 iSebw - iPhone premium

30/07/2019 à 17h30 :

Ouais ben Google ferait bien de balayer devant sa porte avant de chercher chez les autres Pfffff
Google ou comment balancer votre vie privée au 4 vents 😡👎. Même si je suis respecte le fait d’en parler après le correctif 😬

1 Enc - iPad premium

30/07/2019 à 17h07 :

Quand même cinq failles... ou lala…🤫