Les iPhone et iPad ne sont pas à l'abri des failles. Charlie Miller, un chercheur en sécurité informatique, a mis en évidence une nouvelle vulnérabilité d'iOS permettant de prendre le contrôle d'un terminal à l'insu de l'utilisateur grâce à un code malicieux caché dans une application.
Ce n'est pas la première fois que Charlie Miller met en lumière une faille sur les terminaux d'Apple. Cet ancien de la NSA, spécialiste en sécurité informatique, avait déjà révélé une vulnérabilité de l'iPhone. Grâce à un SMS spécial, il était possible d'écouter les conversations sur le téléphone ou d'en prendre le contrôle. Cette fois-ci, le chercheur pointe du doigt un défaut de sécurité avec une application.
La méthode utilisée est en fait assez simple. Il existe une faille de sécurité dans Nitro, le moteur Javascript du navigateur Safari présent sur iOS. Cette brèche permet d'exécuter du code non signé sans que l'iPhone ou l'iPad ne bronche. En résumé, il suffit qu'une personne mal intentionnée cache une action nocive dans une application pour prendre le contrôle complet du terminal.
Charlie Miller est d'ailleurs passé de la théorie à la pratique. Il a créé une application appelée Instastock permettant de suivre le cours de la bourse en direct mais il a inclus un code malicieux permettant d'exploiter la fameuse faille. Il a soumis l'application en question à Apple qui l'a validée sans le moindre problème.
Du coup, les terminaux Apple sur lesquels l'application est installée peuvent être la cible de nombreuses actions (exploration des dossiers, ajout et suppression de fichiers, vibration du terminal, téléchargement du carnet de contacts...) sans que l'utilisateur ne s'en rende compte. Charlie Miller dévoile justement dans la vidéo ci-dessous les possibilités offertes par cette vulnérabilité :
Cet exemple montre une nouvelle fois que le système mis en place par Apple pour la publication des applications n'est pas exempt de défauts. Pour l'instant, les seules réponses apportées par la firme à la pomme sont la suppression de l'application Instastock de l'App Store et l'exclusion de Charlie Miller de la communauté des développeurs iOS. Il reste maintenant à savoir si une mise à jour d'iOS est prévue pour colmater cette faille rapidement.
Aucun commentaire:
Enregistrer un commentaire