Le Code Signing des applications iOS victime d’une faille ?

Apple iOS
Typographie
  • Très Petit Petit Moyen Grand Très Grand
  • Par Défaut Helvetica Segoe Georgia Times

La faille permettrait de contourner les mesures de sécurités mis en place par Apple et ainsi permettre le vol éventuel des données personnelles de l’utilisateur.

Le chercheur/hacker en sécurité sur Mac, Charlie Miller, a trouvé un moyen d’intégrer dans une application disponible légitimement sur l’App Store, un malware qui toucherait potentiellement tout appareil fonctionnant sur iOS et ainsi voler les données de l’utilisateur à son insu et même prendre le contrôle de son appareil.

La faille se situerait au niveau des restrictions du procédé de signature du code des applications iOS (Code Signing) mis en place par Apple dans les applications distribués par l’App Store.

Miller explique que les restrictions du Code Signing permettent uniquement à ce que des commande approuvés par Apple soient exécutés dans la mémoire de l’appareil sous iOS. La soumission d’une application qui outrepasseraient ces règles serait irrémédiablement rejeté de l’App Store. Ce qui est normale.

Cependant, Miller aurait trouvé un moyen de contourner les mesures de sécurités mise en place par Apple en exploitant une faille dans le procédé de signature de code des applications iOS, ce qui permettrait à une application de télécharger de nouvelle commande (non approuvé donc) à partir d’un ordinateur distant.

Apple_iOS_5

Il poursuit en donnant l’exemple d’une application comme Angry Birds qui pourrait aisément exécuter du code non autorisé sur votre appareil, chose qu’Apple ne pourrait pas vérifier et bloquer en l’état actuel des choses.

La faille aurait apparemment été introduite à partir d’iOS 4.3. Cette version d’iOS avait amené son lot de nouveauté dont l’une qui augmentait considérablement la vitesse d’exécution du code JavaScript au sein du navigateur Safari. Techniquement parlant, en contrepartie de la vitesse accru du navigateur, Apple aurait permis à ce que le code puisse s’exécuter à un plus bas niveau au sein de la mémoire pour le navigateur web, ce qui par conséquent permettait d’exécuter du code non approuvé.

Mieux que des mots, une vidéo de la preuve du concept a été publié sur Youtube pour démontré la chose. Dans cette vidéo on voit que grâce à une application tout à fait anodine qui affiche les cotations boursières “InstaStock”, il prend le contrôle d’un iPhone en le faisant vibrer, comment il télécharge le carnet d’adresse de l’iPhone et même affiche une vidéo. Tout un ensemble de chose que l’application n’est pas censé faire.

Preuve de concept de la faille de sécurité du Code Signing

 

Espérons qu’Apple corrige vite cette faille sinon c’est la porte ouverte à tous les mots…

PARTAGEZ CET ARTICLE

Commentaires (0)

Noté 0 sur 5 sur la base de 0 votes
Aucun commentaire pour le moment.
Soyez le premier à réagir.
Abonnez-vous à notre Newsletter gratuite pour ne rien manquer de l'actualité numérique.

Sondage Express

Le 3 Décembre sort la PS1 Classic, cela vaut il le coup de l'acheter ?

Oui, Carrément - 0%
Non, Trop chère - 0%
Peut-être - 0%

Nombre Total de Votes: 0
Les votes pour ce sondage sont terminé! le: décembre 31, 2018