Une faille dans iOS permet d’exécuter du code à distance

Nous le savons tous, il n’y a pas une semaine ou on ne découvre pas une faille sur un site internet, un logiciel ou un système d’exploitation. C’est également le cas pour l’iPhone et le système IOS. Charlie Miller, un chercheur, a prouvé récemment qu’il existait une importante faille touchant l’iPhone et l’iPad d’Apple. C’est via le téléchargement d’une application sur le store qu’il a ensuite pu accéder aux données contenues dans les appareils…

Le chercheur a en effet mis à jour une belle vulnérabilité qui permet d’injecter à distance du code dans un terminal animé par l’OS d’Apple.

Pour utiliser la faille, il suffit que la victime ait téléchargé une application disponible officiellement sur l’Apple store sous le nom de « Instastock ». Miller a proposé l’application pour prouver à Apple que leur système était loin d’être parfait en terme de sécurité. Validée par Apple, l’application a été disponible quelques jours au téléchargement. Et c’est une fois cette application installée que la faille peut être exploitée, permettant donc de fouiller les téléphones…

Miller a réagit par cette phrase : « La signature du code est importante. C’est ce qui nous évite d’être touché par des malwares. Apple doit corriger cette faille et assurer notre protection de nouveau »

Cette application remet donc en cause notamment la fiabilité du système d’Apple mais surtout la sécurité de la validation des applications qui n’ai pas si sécurisé que çà, la preuve en est avec Instastock. A savoir que Apple affirme exercer une vérification pointue avant toute publication sur l’App Store.

Le chercheur a publié une vidéo expliquant la faille (en anglais bien entendu)

 

[Source]


Laisser un commentaire