Des bugs dans iOS ont permis de pirater un iPhone simplement via un site Web. Seul Google les a découverts

30. 8. 2019

Des chercheurs du groupe Google Project Zero ont découvert une vulnérabilité qui est l'une des plus importantes de l'histoire de la plateforme iOS. Le malware malveillant exploitait des bugs dans le navigateur Web mobile Safari.

Ian Beer, expert de Google Project Zero, explique tout sur son blog. Personne n’a dû éviter les attaques cette fois-ci. Il suffisait de visiter un site Web infecté pour être infecté.

Les analystes du Threat Analysis Group (TAG) ont finalement découvert un total de cinq bugs différents présents d'iOS 10 à iOS 12. En d'autres termes, les attaquants pourraient utiliser la vulnérabilité pendant au moins deux ans depuis que ces systèmes sont sur le marché.

Le malware utilisait un principe très simple. Après avoir visité la page, un code s'exécutait en arrière-plan et était facilement transféré à l'appareil. L'objectif principal du programme était de collecter des fichiers et d'envoyer des données de localisation à intervalles d'une minute. Et comme le programme s'est copié dans la mémoire de l'appareil, même ces iMessages n'en étaient pas à l'abri.

TAG et Project Zero ont découvert un total de quatorze vulnérabilités réparties sur cinq failles de sécurité critiques. Parmi ceux-ci, sept étaient liés à Safari mobile sous iOS, cinq autres au noyau du système d'exploitation lui-même et deux ont même réussi à contourner le sandboxing. Au moment de la découverte, aucune vulnérabilité n'avait été corrigée.

photos: EverythingApplePro

Corrigé uniquement dans iOS 12.1.4

Les experts du Projet Zéro ont rendu compte Les erreurs d'Apple et leur a donné sept jours selon les règles jusqu'à sa parution. La société a été informée le 1er février et a corrigé le bug dans une mise à jour publiée le 9 février dans iOS 12.1.4.

L'ensemble de ces vulnérabilités est dangereux dans la mesure où les attaquants pourraient facilement diffuser le code via les sites concernés. Comme il suffit de charger un site Web et d’exécuter des scripts en arrière-plan pour infecter un appareil, pratiquement tout le monde courait un risque.

Tout est expliqué techniquement sur le blog anglais du groupe Google Project Zero. Le message contient une richesse de détails et de détails. Il est étonnant de constater à quel point un simple navigateur Web peut servir de passerelle vers votre appareil. L'utilisateur n'est pas obligé d'installer quoi que ce soit.

La sécurité de nos appareils n’est donc pas une bonne chose à prendre à la légère.

Source: 9to5Mac

Les sujets: iOS 10, iOS 12, iMessage, safari, 9to5mac, Mémoire, Google, Danse, iOS, utilisateur

Discussion de l'article

Votre nom

Votre commentaire

En remplissant les données ci-dessus, je reconnais que la société TEXT FACTORY s.r.o., dont le siège social est à Brno, Durďákova 336/29, Černá Pole, code postal : 613 00, numéro d'identification : 06157831, inscrite au tribunal régional de Brno, section C , insérer 100399, traitera mes données personnelles fournies dans le formulaire d'inscription que j'ai rempli sur la base des intérêts légitimes de TEXT FACTORY s.r.o. conformément à l'article 6, paragraphe 1, lettre f) RGPD et pour remplir les obligations légales (article 6, paragraphe 1, lettre c) RGPD), aux fins suivantes : la nécessité de garantir l'autorisation des visiteurs des sites Web exploités par TEXT FACTORY s.r.o. pour contribuer activement aux articles publiés ou aux discussions forums et exercice des droits de TEXT FACTORY s.r.o. en tant qu'administrateur de ces forums de discussion. De plus amples informations sur le traitement des données personnelles et les droits peuvent être trouvées dans Leçons sur la protection des données personnelles. tout le texte

Il pourrait être vous intéresse

photos: EverythingApplePro

Corrigé uniquement dans iOS 12.1.4

Il pourrait être vous intéresse

En rapport