iOS : 5 failles de sécurité critiques ont été découvertes sur les iPhone

Google Project Zero vient de dévoiler 4 mises en pratiques de 5 failles critiques découvertes récemment sur iOS. Celles-ci permettent de pirater des iPhone à distance en envoyant un simple message via iMessage. Apple a été alerté du problème en amont et propose un patch de sécurité dans sa dernière mise à jour iOS 12.4. 

iPhone failles critiques

Les failles de sécurité n’existent pas que sur les smartphones Android – elles existent sur tout types d’appareils, y compris les iPhone dont le marketing d’Apple exagère souvent la sécurité. Bien sûr, en disant cela, on oublie un aspect essentiel : ce n’est pas vraiment le fait qu’il y ait des failles qui pose problème. Ce qui compte, c’est surtout qu’elles soient rapidement corrigées. Et de ce point de vue, les iPhone ont un avantage énorme sur les smartphones Android : ils reçoivent les mises à jour d’iOS immédiatement, dès que ces dernières sont disponibles. Alors que sur Android, c’est au bon vouloir des constructeurs.

Les failles de sécurité critiques touchent aussi les iPhone, mais ils sont très vite patchés…

Ce qui n’enlève rien au fait que les experts du Google Project Zero en ont trouvé une belle brochette dernièrement sur iOS. Car ce ne sont pas des petites failles : on parle de failles critiques qui permettent à un attaquant de prendre le contrôle total d’un appareil et d’ex filtrer des données, sans que l’utilisateur ne doive pour cela ouvrir quoi que ce soit. Il y a en tout cinq failles – dont une (CVE-2019-8641) reste pour le moment privée le temps que Apple achève de la patcher. Les quatre autres failles ont toutes été corrigées avant publication par les équipes d’Apple, prévenues en amont par les chercheurs de Project Zero. Toutes concernent iMessage, le protocole de messagerie propriétaire d’Apple.

La première faille (CVE-2019-8647) permet l’exécution de code arbitraire en s’attaquant au Core Data framework d’iOS – en lien avec une méthode (NSArray initWithCoder) insuffisamment sécurisée. La seconde (CVE-2019-8662), similaire, réside dans la fonctionnalité d’aperçu rapide Quicklook. La troisième (CVE-2019-8660) permet de corrompre la mémoire au travers du composant Siri du framework Core Data, qui permet de provoquer des crashes et de l’exécution de code arbitraire.

Lire également : Bluetooth BLE – une faille de sécurité permet de suivre à la trace les PC et les iPhone

Enfin, la faille CVE-2019-8646 qui réside également dans Siri et dans le Core Data framework permet à un attaquant de lire le contenu de fichiers de l’iPhone à distance sans la moindre interaction de l’utilisateur, et lui donne un accès total – non sandboxé – à l’appareil. Google a mis en ligne des « preuves de concepts » (autrement dit des démonstrations) de ces failles de sécurité ce qui facilite la tâche de pirates éventuels. Néanmoins comme on vous le disait plus haut, le fait qu’une mise à jour ait déjà été poussé sur tout le parc des iPhone concernés réduit d’autant le risque. Une manière de souligner, si cela était nécessaire, l’intérêt d’accélérer la livraison des mises à jour dans l’écosystème Android.

Source : The Hacker News

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Facebook corrige le bug qui activait en permanence la caméra des iPhone

Facebook vient de corriger le bug qui activait en permanence la caméra des iPhone sous iOS 13.2.2. Un comportement inquiétant impossible à reproduire sous Android – puisqu’il résonne avec des rumeurs selon lesquelles Facebook espionne les conversations vocales des utilisateurs pour…

Apple Card : la carte de paiement accusée de sexisme

L’Apple Card, la carte de paiement d’Apple, est accusée de sexisme par un entrepreneur américain. Il affirme avoir obtenu une limite de crédit 20 fois supérieure à celui de sa femme, elle aussi propriétaire d’une Apple Card. La marque à…

iPad : Photoshop est enfin disponible sur l’App Store

Les utilisateurs d’iPad peuvent désormais installer une véritable version d’Adobe Photoshop, le célèbre logiciel de retouche d’image, depuis l’App Store. L’application est proposée au prix de 10,99€ par mois aux personnes qui ne disposent pas déjà d’une licence Adobe. Une période d’essai gratuite de 30 jours est…

Apple annonce une baisse des revenus liés aux iPhone

Apple vient de lever le voile sur ses résultats financiers pour le troisième trimestre 2019. Malgré l’effondrement des ventes d’iPhone, le constructeur californien a généré un chiffre d’affaires record  de 64,04 milliards de dollars. Le succès de services payants, comme…

Les iPhone 12 seraient équipés d’un écran 120 Hz

Les iPhone 12 pourraient être sublimés d’un écran 120 Hz, révèle une fuite. Apple aurait en effet décidé d’intégrer la technologie ProMotion, déjà présente sur les iPad Pro depuis deux ans, à sa nouvelle génération de smartphones.  Apple pourrait intégrer…