Une nouvelle faille d’iOS permet l’installation d’un keylogger

Par Loris , le 25 février 2014 , 25 commentaires — faille, iOS, keylogger, sécurité - 1 minute de lecture

failapplekeylogger Une nouvelle faille diOS permet linstallation dun keylogger

Nouveau coup dur pour Apple ! Après la polémique concernant la fameuse faille SSL dont on entend tant parler ces derniers temps, voilà que des chercheurs en sécurité de chez FireEye annoncent avoir trouvé le moyen d’installer un « keylogger » sur un appareil équipé d’iOS.

La méthode de FireEye exploite une fonctionnalité d’iOS 7, le « rafraichissement en tâche de fond ». Et dans un but purement scientifique, ils ont alors envoyé une application sur l’App Store qui contenait leur fameux « keylogger » (avant de la retirer par la suite).  Ils ont ainsi été en mesure d’enregistrer l’ensemble des activités de l’utilisateur de l’appareil. Cela inclut ainsi toutes les saisies clavier, mais également ses actions sur l’écran et sur les boutons physiques de l’appareil. Les données enregistrées étaient alors envoyées sur un serveur puis exploitées.

Cette faille est apparemment présente sur n’importe quelle version d’iOS 7. Et contrairement à la faille SSL il n’existe aucune solution tierce pour se protéger de ce genre de logiciels malveillants.

Apple aurait cependant été mise au courant et travaillerait déjà sur un correctif.

source

Loris

Commentaires

Le 25 février 2014 à 14 h 01 min, jriko a dit :


mdr!! on fait un virus special ios et il marche... bizarre!
mdr!! aucun moyen de parer ca... ah bon et desactiver la rafraichissement en fond d'une bloque leur vieux exploit a 2 sous et de deux economise la batteri


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 14 h 13 min, jak a dit :


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 14 h 21 min, Amine Bm a dit :


J'pense que c'est la raison pour laquelle ils ont appelé Winocm


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 21 h 26 min, vicIOS7 a dit :


Chez apple des winocm yen a tous les coins


Votre réponse sera révisée par les administrateurs si besoin.

Le 1 mars 2014 à 12 h 36 min, GéGé a dit :


Oui des mecs de 17 ans qui arrivent à JB un os sans avoir accès au code source ou à la doc technique, ça se trouve partout.

T'es pas développeur web toi par hasard ?


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 14 h 43 min, Emtek a dit :


Mais quel est le risque pour un particulier ? Genre moi, perso j'ai rien de top secret dans mon iPhone, les risques sont minimes pour que ça arrive a quelqu'un non ?


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 15 h 12 min, needmania a dit :


Bah imaginons que tu consulte ton compte bancaire sur ton téléphone, ou bien que tu te connecte a ton compte paypal ... Toute ces infos seraient envoyé et donc je te laisse imaginer la suite ...


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 21 h 31 min, vicIOS7 a dit :


Tu t'imagines des trucs un peu


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 15 h 14 min, EiTeR a dit :


Oh oui y'a aucun risque, à par peut etre le fait que si tu vas sur fb et que tu tapes ton mdp, bah le keylogger l'enregistrera, oh puis pareil pour ta boite mail, tes comptes sur divers site, ah j'oubliais, si jamais tu vas consulter ton compte bancaire via l'appli de ta banque ou via safari, NP le keylogger le saura aussi lui :)


Votre réponse sera révisée par les administrateurs si besoin.

Le 26 février 2014 à 21 h 52 min, Emtek a dit :


Merci pour vos réponses, j'avais pas imaginé tout ça ^^


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 15 h 05 min, conor a dit :


Vu tout les problèmes, bugs rencontrés sur iOS 6 et 7, je pense vraiment que le dernier iOS digne de ce nom (càd abouti, non baclé) est l'iOS 5.1.1...

heureusement que j'ai mes shsh enregistrés, je suis revenu dessus depuis l'iOS 6 et je n'ai aucun regret...


Votre réponse sera révisée par les administrateurs si besoin.

Le 27 février 2014 à 17 h 46 min, JesuisTropDeg a dit :


J'aimerai bien y retourner moi aussi mais aucun shsh.....


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 15 h 06 min, plic a dit :


Bien content d'être resté sur iOS 6 !


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 22 h 55 min, gaet43 a dit :


Ça fonctionne aussi sous iOS 6


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 15 h 38 min, mafiaman42 a dit :


Et moi qui ai passé 5h hier à restaurer l'iOS 7.0.6 seulement 3 jours après avoir mis l'iOS 7.0.4, je me vois mal refaire toute la procédure pour l'iOS 7.0.7 qui devrait sortir. Fait chier ...


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 16 h 04 min, Didier a dit :


Fais comme moi, laisse tombé les MaJ qui sont pas vraiment utilisé pour des utilisateurs comme nous.
Faut arrêter la paranoïa !!!


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 16 h 18 min, Créco a dit :


J'ai installé le patch Cydia pour la faille SSL sur l'iPhone car j'ai la flemme de tout réinstaller après la MàJ... Mais là visiblement je n'ai pas trop le choix...
Est-ce que Apple va sortir une version 7.0.7 ou intégrer la réparation directement à iOS 7.1?? (en avançant sa date de sortie...)
J'ai intérêt à me magner de mettre à jour l'OS de mon iPad Mini pour conserver le jailbreak!!


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 16 h 20 min, Reflex a dit :


Cette faille craint vraiment du boudin.


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 17 h 53 min, applemasqué a dit :


Moi je dis que c pas une faille proprement dit mais la preuve que Apple se garde la possibilité voir même récolter nos données.


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 18 h 23 min, patate-douce a dit :


Les applis bacaite n'utilisent pas des claviers numériques classiques, les chiffres changent en permanence


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 18 h 55 min, pascalou a dit :


bientot un patch pour comblé cette faille va arrivé


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 février 2014 à 21 h 06 min, jak a dit :


ce n'est pas mon commentaire d'origine. Veuillez laisser les commentaires dans leurs contexte.


Votre réponse sera révisée par les administrateurs si besoin.

Le 26 février 2014 à 1 h 49 min, pimax a dit :


Y a rien de spéciale ... C'est pas vraiment une faille ! En tant que developpeur tu peux auditer l'iOS (bouton,vibreur etc...) pour crée des evenements ou une appli spéciale !
La seule chose c'est qu'apple ne verifie pas l'integralité de l'appli au momenta des tests donc si y a un code malveilant pour exploiter en tache de fond les evenements... C'est normal qu'ils arrive a ça ... Tout comme les appli qui peuvent par wifi envoyer des photos etc... Vers un pc... Faut pas abuser du mot " faille " a chaque fois !!


Votre réponse sera révisée par les administrateurs si besoin.

Le 26 février 2014 à 18 h 04 min, tiseb a dit :


Alors la société qui a fait le test dans un but scientifique pourquoi a t'elle mis à jour son exploit ??? Pourquoi ne pas informer apple sans en informer le monde entier ?? La de pure dark-hacker pourrai effectivement se lancer dans cette direction !! Que l'humain est pathétique .... Cette faille soit disant faille existe depuis ios 6 apparement ... Apple devait sûrement être au courant


Votre réponse sera révisée par les administrateurs si besoin.

Le 1 mars 2014 à 12 h 38 min, GéGé a dit :


Au final même sur un store ferme, c'est bien de réfléchir a 2 fois à ce qu'on installe sur son téléphone :-)


Votre réponse sera révisée par les administrateurs si besoin.

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.