Pour l'iPhone, Apple publie une mise à iOS 18.3.1 qui a pour but de corriger une unique vulnérabilité de sécurité. Cette faille est également comblée pour l'iPad avec iPadOS 18.3.1 et iPadOS 17.7.5.
Apple prévient que la vulnérabilité CVE-2025-24200 a été exploitée dans le cadre d'une attaque extrêmement sophistiquée qui cible des personnes spécifiques. En l'occurrence, un attaquant avec un accès physique à un appareil verrouillé est en mesure de désactiver le mode USB restreint.
Introduit en 2018 avec iOS 11.4, le mode USB restreint est une sécurité pour prévenir les tentatives d'accès via le port USB ou Lightning lorsque l'appareil a été verrouillé pendant un certain temps.
Ce mode restreint fait notamment barrage à des outils utilisés par les forces de l'ordre, comme Graykey et Cellebrite, afin d'extraire les données d'un iPhone verrouillé.
Un signalement par le Citizen Lab
La vulnérabilité 0-day a été signalée à Apple par un chercheur du Citizen Lab de l'université de Toronto. Cette attribution est un indice sur la nature de l'exploit. Elle laisse supposer une exploitation dans des attaques contre des journalistes ou des militants.
Peu de détails sont fournis pour le moment. À l'origine du signalement à Apple, Bill Marczak évoque seulement une exploitation dans la nature et un contournement du mode USB restreint par le biais de l'accessibilité.
Pour la vulnérabilité CVE-2025-24200, Apple précise une résolution d'un problème d'autorisation. Il s'agit de la deuxième vulnérabilité 0-day corrigée pour cette année, après la vulnérabilité CVE-2025-24085 le mois dernier.