iOS et OS X auraient d'énormes failles 0-day

Le par  |  10 commentaire(s) Source : The Register
peur

Les systèmes d'exploitation d'Apple seraient affectés par de graves vulnérabilités de sécurité. Elles permettraient par exemple à une application malveillante - approuvée sans sourciller - d'avoir accès aux mots de passe de l'utilisateur et à d'autres données sensibles.

C'est un article pour le moins alarmiste que publie The Register après la mise en ligne des travaux de recherche de six universitaires. Des vulnérabilités 0-day dans les systèmes d'exploitation d'Apple permettraient de casser le gestionnaire de mots de passe d'OS X (keychain), la protection sandbox des applications et passer outre les contrôles de sécurité de l'App Store. Rien que ça…

Apple invitation logoEn exploitant les vulnérabilités actuellement non corrigées, des attaquants pourraient notamment voler en toute discrétion les mots de passe de n'importe quelle application installée (en lien avec keychain) et y compris le client de messagerie natif d'Apple et pour iCloud.

Les attaques ou failles sont de type dit XARA pour Unauthorized Cross-App Resource Access. Si certaines sont spécifiques au système d'exploitation de l'ordinateur Mac, celui de l'iPhone n'est pas sauf pour autant. Des failles ont en effet été identifiées dans le mécanisme de communication entre les applications sur OS X et iOS.

" Les conséquences de ces attaques sont très graves ", selon les chercheurs qui soulignent les fuites de mots de passe des utilisateurs, des tokens secrets (jetons d'authentification) et divers documents sensibles. D'après eux, la racine du problème vient de l'absence d'authentification lors des interactions entre les applications et avec le système.

Une analyse conduite sur 1 612 applications populaires pour Mac et 200 applications pour iOS a trouvé que plus de 88,6 % sont exposées aux attaques XARA.

L'autre problème est que la firme à la pomme a été informée de la trouvaille des chercheurs en octobre 2014 et a demandé un délai de six mois pour résoudre les soucis. Le délai a été amplement dépassé et les chercheurs ont décidé de publier leurs travaux.

Si le papier des universitaires est exact - pas de raison d'en douter a priori - et en attendant la réponse d'Apple, cela veut dire qu'il est possible de concevoir un malware et de le faire entrer dans l'App Store, ainsi que de lancer des attaques pour voler des données parmi les plus sensibles. Et le sandboxing des applications n'y change rien.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1845743
Roh ... on m'avait assuré que Mac OS était très sécurisé ... on m'aurait menti ?!?!?!
Le #1845746
Steve était donc un bonimenteur de foire ?
Le #1845748
FRANCKYIV a écrit :

Roh ... on m'avait assuré que Mac OS était très sécurisé ... on m'aurait menti ?!?!?!


mais non les personnes qui publie ses résultats sont a tous les coup des frustrés, une toute petite minorité de gars un peu pommé

Le #1845754
Ah c'est ce qui arrive quand on se concentre les failles du jailbreak qui ne peut que être volontaire...
Le #1845789
jeanlucesi a écrit :

Auraient?


"Le délai a été amplement dépassé et les chercheurs ont décidé de publier leurs travaux." ... Apple aurait-il trop tardé à verser les sommes convenues pour leur silence ?
Le #1845814
"cela veut dire qu'il est possible de concevoir un malware et de le faire entrer dans l'App Store" c'est sur, on peut concevoir n'importe quoi, de la à ce que ça fonctionne vraiment et qu'Apple le mette dans son store, c'est peut être pas aussi simple. Apparemment, ça devient une habitude de trouver des problèmes de sécurité chez les autres, avant que Microsoft ne sorte un nouveau truc, jusqu'à présent ça a toujours été complètement bidon.
Le #1845841
Où est-ce qu'il n'y a pas de faille a vrai dire ???
Le #1845864
penseurodin a écrit :

"cela veut dire qu'il est possible de concevoir un malware et de le faire entrer dans l'App Store" c'est sur, on peut concevoir n'importe quoi, de la à ce que ça fonctionne vraiment et qu'Apple le mette dans son store, c'est peut être pas aussi simple. Apparemment, ça devient une habitude de trouver des problèmes de sécurité chez les autres, avant que Microsoft ne sorte un nouveau truc, jusqu'à présent ça a toujours été complètement bidon.


C'est tout du bla bla bla tout ça, histoire de vendre de l'anti virus et autres joyeusetés.
J'ai Os x 10.9.5 et j'attends toujours le méchant malware ou pirate.
Le #1845963
Le plus étonnant c'est que ce soit une SURPRISE ... Depuis des années Apple nous mène en bateau sur tout les points (écologie, éthique, protectionnisme, etc ...) Et la SURPRISE la mariée n'est pas ce qu'elle prétend ... Naïveté globale !?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]