iPhone et iOS : les vulnérabilités de Google Project Zero étaient vraiment critiques

Le par  |  0 commentaire(s)
iOS-12

Des hackers d'élite de Project Zero de Google ont manifestement fait de grosses trouvailles pour attaquer à distance des appareils iOS en envoyant un iMessage piégé.

La semaine dernière, Apple a diffusé des mises à jour pour ses divers systèmes d'exploitation. Cela a par exemple été le cas avec iOS 12.4, y compris pour les habituelles corrections de sécurité. Comme à chaque fois dans ses notes de version, Apple a été discret sur la dangerosité effective des vulnérabilités.

Plusieurs failles avaient été rapportées par des membres de Project Zero de Google. Notamment connue pour la découverte d'une vulnérabilité critique qui affectait WhatsApp, Natalie Silvanovich a indiqué en début de semaine que cinq bugs de sécurité dans iMessage (intégré dans iOS) viennent d'être divulgués en vertu de la politique de Project Zero.

La chercheuse en sécurité avait découvert ces vulnérabilités avec Samuel Groß. Elle souligne la possibilité pour un attaquant distant de cibler un iPhone via l'envoi d'un iMessage spécialement conçu, et pour une exploitation sans interaction de l'utilisateur.

Pour se convaincre de la dangerosité des failles, il suffit de lire un avant-goût de ce que Natalie Silvanovich va présenter lors de la prochaine conférence Black Hat à Las Vegas.

" Il y a eu des rumeurs de vulnérabilités à distance ne nécessitant aucune interaction de l'utilisateur pour attaquer l'iPhone, mais peu d'informations sont disponibles sur les aspects techniques de ces attaques sur les appareils modernes. Cette présentation explore la surface d'attaque à distance, sans interaction, d'iOS. Elle traite des vulnérabilités potentielles des SMS, MMS, la messagerie vocale visuelle, iMessage et Mail. […] Elle comprend également deux exemples de vulnérabilités. "

De telles vulnérabilités pourraient se négocier à prix d'or pour des chercheurs en sécurité moins scrupuleux. C'est un point sur lequel il ne faut guère se bercer d'illusions...

La chercheuse de Project Zero ajoute par ailleurs qu'une vulnérabilité n'a pas été divulguée dans la mesure où la correction apportée par Apple n'est pas satisfaisante. Quoi qu'il en soit, la mise à jour iOS 12.4 est plus que conseillée et pas seulement pour corriger la vulnérabilité d'espionnage avec le mode talkie-walkie de l'Apple Watch.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme