Imprimer
Envoyer
2 Réactions
107 Approbations
Malgré un écosystème entièrement fermé, le système d'exploitation comporte des failles.
Le chercheur en sécurité Charlie Miller a découvert une énorme faille dans le système iOS qui permet d'exécuter du code sans signature numérique. En d'autres termes, cela rend les périphériques iOS vulnérables et il est notamment possible de récupérer le carnet d'adresses à distance ou bien encore des informations personnelles.
Charlie a publié une vidéo montrant comment fonctionne le logiciel. Le chercheur a poussé le vice jusqu'à soumettre une application aux équipes de l'App Store qui a bien été disponible sur la boutique. L'application Instastock permettait donc en apparence de suivre les cours de la bourse. Cette application était également capable de télécharger et d'exécuter un code malicieux à distance. Charlie Miller montre alors qu'il est possible de naviguer dans l'arborescence de l'iPhone, de récupérer le carnet d'adresses et toutes les données du téléphone, sans que l'utilisateur ne s'aperçoive de la supercherie.
Dans la foulée, Apple a retiré l'application en question de l'App Store et suspendu le compte développeur de Charlie Miller, un accès qui avait été pourtant offert par Apple au chercheur en sécurité afin qu'il puisse faire des tests. Charlie Miller a bien évidemment prévenu la société californienne de l'existence de cette faille, qui devrait logiquement être corrigée dans la prochaine version d'iOS 5.0.1 ou 5.0.2. Le chercheur n'en dira pas plus sur la nature de cette brèche, mais il semblerait qu'elle soit en rapport avec le moteur JavaScript Nitro qui supporte la compilation à la volée (JIT) et donc autorise du code non certifié à s'exécuter dans la mémoire vive. Réservé à Safari dans iOS 4.3, Nitro est maintenant accessible à toutes les applications, c'est ce qui poserait problème.
Cette faille montre que même un écosystème parfaitement maitrisé par une société est vulnérable et qu'aucun système n'est sécurisé à 100 % et que les usages des virus peuvent aller très loin comme l'a montré le ver Stuxnet.
|
Siri est aussi sur l'iPhone 3GS | L'iPhone 4S recommandé par Consumer Reports |
|
Flux RSS
Dernières réactions
Dis nous (gratuitement?) si il y des problèmes de sécu mais ne le dit à personnes d'autres (car bon, ça ne fait pas très pro...).
C'est juste que Miller est un white hat, donc procède quasiment toujours comme ça : il donne (ou vend) tous les détails à l'éditeur, mais il ne les rend publics qu'une fois la faille réparée (ou éventuellement, si la boîte concernée tarde trop à corriger, pour la forcer à se bouger), pour éviter que des gens mal intentionnés l'exploitent...