En octobre 2014, un groupe de six chercheurs a réussi à contourner tous les mécanismes de sécurité d'Apple pour placer une application sur le Mac App Store et l'App Store. En pratique, ils pourraient introduire des applications malveillantes dans les appareils Apple, capables d’obtenir des informations très précieuses. Selon un accord avec Apple, ce fait ne devait pas être publié avant environ six mois, ce que les chercheurs ont respecté.
De temps en temps, nous entendons parler d’une faille de sécurité, tous les systèmes en ont, mais celui-ci est vraiment important. Il permet à un attaquant de pousser une application via les deux App Stories qui peuvent voler le mot de passe du trousseau iCloud, l'application Mail et tous les mots de passe stockés dans Google Chrome.
[identifiant YouTube = »S1tDqSQDngE » largeur = »620″ hauteur = »350″]
Cette faille peut permettre à un logiciel malveillant d'obtenir un mot de passe à partir de pratiquement n'importe quelle application, qu'elle soit préinstallée ou tierce. Le groupe a réussi à s'affranchir complètement du sandboxing et a ainsi obtenu les données des applications les plus utilisées comme Everenote ou Facebook. Toute l'affaire est décrite dans le document "Accès non autorisé aux ressources inter-applications sur MAC OS X et iOS".
Apple n'a pas commenté publiquement le sujet et a seulement demandé des informations plus détaillées aux chercheurs. Bien que Google ait supprimé l’intégration du trousseau, cela ne résout pas le problème en tant que tel. Les développeurs de 1Password ont confirmé qu'ils ne peuvent pas garantir à 100 % la sécurité des données stockées. Une fois qu'un attaquant pénètre dans votre appareil, ce n'est plus votre appareil. Apple doit trouver un correctif au niveau du système.
C'est certainement une erreur, mais le conseil dépend de la personne, de l'application qu'elle installe.
et si j'installe des applications de l'App Store ofiko, auxquelles j'accède depuis les "favoris" par défaut de l'iPhone, je n'ai pas de système iOS "craqué", cela mettra/a mis en danger même mon petit truc, ptm. mon iPhone avec iOS 8,3 ? D'après l'article, j'ai le sentiment que oui... Et quelles applications j'installe ? De l'option "gratuite".
Le point ici est que ces applications malveillantes peuvent entrer dans l'App Store par la voie officielle, et l'utilisateur les télécharge ensuite en pensant qu'elles vont bien lorsqu'elles ont passé l'inspection d'Apple. Il est donc préférable de ne pas installer d'applications provenant de développeurs inconnus. C'est du moins ainsi que je le comprends.
Exactement comme tu le dis. En tout cas, je suis plutôt surpris, si l'information est vraie, qu'Apple en soit apparemment au courant depuis plus de six mois et n'ait rien fait à ce sujet.
J'estime qu'Apple a probablement complété le contrôle dans l'App Store après avoir reçu l'information, et le risque à cet égard est minime pour l'iPhone/iPad.
Cependant, cela ne doit pas être si négligeable avec MAC, où les applications extérieures au MacAppStore sont installées tout à fait normalement.