Alors qu’il y a quelque temps nous vous parlions d’une faille de sécurité qui permettait de pirater un iPhone via son chargeur (à lire ici), une nouvelle faille de sécurité de la plateforme iOS permettrait l’injection d’un malware sur tous les appareils.
La nouvelle vient du même institut de recherche en sécurité qui avait découvert récemment la faille sur les chargeurs secteurs. Aujourd’hui, ils reviennent donc avec une nouvelle qui ne ravira surement pas les équipes d’Apple.
Les chercheurs de la GTISC (Georgia Tech Information Security Center) expliquent les différentes étapes grâce avec lesquelles ils ont pu prendre le contrôle à distance d’un appareil pour par exemple envoyer des SMS, des mails ou encore prendre des photos.
Quelques explications :
Comme vous le savez, Apple a mis en place un système de validation des applications qui permet normalement de détecter les applications malveillantes qui seraient en mesure de faire ce genre de choses. L’ingéniosité de l’équipe de Tielei Wang a été de concevoir une application qui passerait haut la main cette étape de validation. Cette application anodine pour Apple aurait cependant la capacité de réécrire son propre code une fois installée depuis l’AppStore, pour alors mettre en place un code malicieux type « cheval de Troie » et prendre le contrôle de votre appareil.
Pour prouver ces dires, l’équipe a développé une application baptisée Jekyll avec laquelle ils n’ont eu aucun mal à prendre le contrôle d’un groupe d’appareil iOS.
La GTISC ayant bien entendu mis Apple au courant de cette nouvelle faille, espérons que comme celle qui concerne les chargeurs, elle sera elle aussi corrigée lors de la sortie de l’iOS 7.
Que pensez-vous de ces nouvelles découvertes concernant la sécurité sur iOS ?
14 commentaires
Ils devraient plutôt garder ces failles pour d’éventuels futur jailbreak. Un jailbreak via une app dispo sur l’app store, bon, elle resterait 3h sur le store, mais ça me ferais bien rire.
La NSA pourrait s’en servir pour espionner des idevices..
Vu la dangerosité de ces failles, il vaut mieux que ce soit Apple les premiers au courant!
Ce peut être utile pour le jailbreak, mais combien de « pseudo-dev » utiliserait cette faille afin de prendre le contrôle de votre appareil, juste par le biais d’un tweak installé sur votre iDevice? Laissons leur les failles qui ne présentent aucun danger pour l’utilisateur et ses données personnelles…
T’as cru que quoi ? Tout le monde s’en fout qui va prendre ton téléphone et faire ça ?? Déjà faut installé l’application (non dans ton cas tu m’a l’air assez inteligent pour le faire) Franchement c’est de failles que personne n’utilise !!!! Donc oui autant les exploite pour le jailbreak
Petite question. Ces failles de sécurité ne peuvent pas être exploitables pour le jailbreak par hasard ?
@Tralalalalo Ouais je suis d’accord avec toi. Je trouve que c’est dommage… Surtout que j’aimerais bien que mon iPhone 5 (6.1.3) puisse avoir un jailbreak « innatendu » ! ^^
Moi aussi :) le jailbreak c’est vraiment bien :)
Il ne s’agit pas d’une faille dans iOS mais d’une faille (volontaire dans le cas de Jekyll) dans une application. Apple ne peut tester et chercher les bugs dans toutes les applis passant par leur validation…
Non la faille ne vient pas de l’appli elle vient d’iOS : normalement iOS bloque les application comme ça (avec un virus et dans le cas présent un cheval de Troie) mais l’appli a exploité la faille et même si c’est une appli « infectée » elle peux comme même être installe sur ton téléphone
C’est pas rassurant.
C’est normal il ne pouvait pas faire un truc parfait
Je n’ai pas comprit, désolé.
T’es obligé de t’énerver comme ça quand on exprime un point de vue ici? T’es qui au juste? Tu te prend pour un dev parce que ton prof de technologie au collège t’as appris à fabriquer une calculette, dis moi? Ou t’es juste enceinte donc t’as tes humeurs?
Maksimsky, tu m’as tué… :’)