iOS 7 : une vulnérabilité pour espionner en tâche de fond

Le par  |  2 commentaire(s)
iOS 7 iPhone logo

Des chercheurs en sécurité ont découvert une vulnérabilité dans les versions récentes de iOS 7 et iOS 6.1 dont l'exploitation permet à des attaquants d'enregistrer les faits et gestes sur un terminal, y compris non jailbreaké.

Après la correction de la faille due à une mauvaise implémentation des protocoles de sécurisation SSL et TLS dans iOS (et OS X), Apple se fait une nouvelle fois tirer les oreilles. FireEye annonce avoir découvert une vulnérabilité dans iOS qui permet de l'espionnage en arrière-plan et ce y compris sur des terminaux non jailbreakés.

FireEye-iOS-enregistrement-evenementsDes chercheurs en sécurité ont identifié des approches afin de passer outre les mécanismes de vérification d'Apple pour son App Store et ont mis au point une preuve de concept capable d'enregistrer l'activité d'un utilisateur et l'envoyer à un serveur distant.

Cette application de démo dite de monitoring en tâche de fond s'est avérée fonctionnelle sur un iPhone 5s équipé de iOS 7.0.4. FireEye précise toutefois que la vulnérabilité existe sur les versions 7.0.5, 7.0.6 ainsi que 6.1.x du système d'exploitation mobile.

La surveillance insidieuse peut s'appliquer sur les divers événements tactiles et pressions à l'écran, ce qui implique de pouvoir reconstituer les frappes au clavier. Elle concerne également le bouton home, le contrôle du volume et la pression pour la fonction Touch ID de l'iPhone 5s.

FireEye estime que des attaquants potentiels sont ainsi à même d'utiliser les informations recueillies pour opérer la surveillance d'un utilisateur pris pour cible. Peu de détails toutefois, tandis que FireEye collabore avec Apple pour la résolution du problème. La firme à la pomme n'est en général guère bavarde quand il s'agit de commenter de telles trouvailles.

En attendant une correction d'Apple, FireEye indique que le seul moyen de se prémunir de la vulnérabilité est d'arrêter l'exécution en tâche de fond d'applications douteuses.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1667032
faille voulu par la NSA
zut, on est pas vendredi...
Le #1667552
totalement d'accord avec toi
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]