Apple a enfin corriger deux failles de sécurité majeures dans l’application de messagerie iOS et iPadOS par défaut, qui rendais des millions d’appareils vulnérables pendant plus de 8 ans. La faille est apparue pour la première fois via iOS 6 et aurait pu depuis être exploitée à plusieurs reprises par des méchant garçons en quête d’informations.
La vulnérabilité a été découverte par ZecOps, une firme de criminalistique en sécurité mobile basée à San Francisco, alors qu’elle enquêtait sur une cyberattaque sophistiquée contre un client qui a eu lieu fin 2019.
À l’époque, Zuk Avraham, directeur général de ZecOps, a affirmé que la vulnérabilité avait été exploitée dans au moins six violations de la cybersécurité qui permettaient aux pirates d’accéder aux appareils. L’exploit, explique ZecOps, est déclenché par l’envoi d’un e-mail truqué qui peut nécessiter une interaction ou non de la cible, alors que dans d’autres cas, l’utilisateur dois ouvrir l’email.
Une fois déclenché, l’email exécute ensuite du code dans le la base des applications de messagerie par défaut, ce qui permet de lire, modifier ou supprimer des messages. La firme de sécurité soupçonne également les attaquants de combiner la vulnérabilité zero-day avec un exploit séparé pour donner un contrôle total sur l’appareil. Comme expliqué ci-dessus, la vulnérabilité peut être déclenchée à distance sans aucune intervention de l’utilisateur – une attaque connue sous le nom de zéro-clic.
Dans un rapport séparé publié par Reuters, la publication a demandé à deux chercheurs indépendants en sécurité d’examiner les affirmations de ZecOps. Les chercheurs ont également trouvé les preuves crédibles, mais ont déclaré qu’ils n’avaient pas encore entièrement recréé ses conclusions.
Dans son rapport, ZecOps affirme qu’un certain nombre de ses clients ont été ciblés, notamment des employés d’une entreprise du Fortune 500 en Amérique du Nord, un journaliste en Europe et un VIP en Allemagne ayant également été ciblés à l’aide de cette technique.
Mais ce qui est inquiétant, c’est que Apple n’était pas au courant de la vulnérabilité jusqu’à très récemment, la faille aurait pu être exploitée par des pirates et même des agences de sécurité du monde entier pour espionner des utilisateurs sans le savoir qui n’avaient aucune idée que leurs données avaient été volées.
ZecOps dit avoir alerté Apple des vulnérabilités en février. Les deux défauts ont depuis été corrigés dans les dernières versions bêta d’iOS 13, et un correctif devrait arriver dans la prochaine mise à jour iOS accessible au public dans iOS et iPadOS 13.4.5.
Commentaires récents