Identifiants, codes bancaires, mots de passe, tout est vulnérable sur OS X et iOS

La sécurité d’Apple vient de prendre un grand coup derrière les oreilles, des données sensibles telles que des identifiants, des codes bancaires ou encore des mots de passe, peuvent être volés au nez et à la barbe de toutes les sécurités mises en place par Apple.

Un groupe de si chercheurs universitaire vient de sérieusement mettre à mal la sécurité d’Apple. C’est en voulant vérifier l’étanchéité légendaire des applications iOS et OS X qu’ils ont découvert toute une série de failles critiques. Le principal problème, c’est qu’il ne s’agit pas de bugs, mais d’erreur de design à la base, ce qui rend très compliquée et longue la mise en place de correctifs.

Comme preuve de la gravité de la situation, c’est au mois d’octobre dernier qu’Apple a été informé de ces failles, et toujours aucun correctif d’envergure n’est disponible à l’heure actuelle. De fait, ces vulnérabilités risquent de faire le bonheur des pirates pendant encore un bon moment.

Dans leur étude, les chercheurs démontrent qu’il est possible de créer des applications malveillantes pour OS X et iOS qui soient capables de pénétrer la base keychain qui référencie les données d’authentification de toutes les applications installées sur le système. Par ce biais, ils ont réussi à voler les identifiants iCloud, Google, Facebook, Twitter, ainsi que tous les identifiants stockés par Chrome.

Ils ont aussi conçu une application capable de percer le bac à sable d’une application, un espace réserver à une application et qui est normalement totalement inaccessible. Ils ont ainsi pu voler des données de WeChat, d’Evernote et de MoneyControl.

Les chercheurs ont aussi découvert des failles dans les mécanismes de communication entre applications, IPC (Inter Process Communication) et URL Scheme par exemple, ce qui permet d’intercepter les données échangées à la volée sans que personne constate quoi que ce soit, façon man in the middle, ce qui a permis de récupérer des mots de passe, des jetons d’authentification, etc.

Le point commun de toutes ces attaques, c’est qu’elles sont liées à certains contrôles d’accès aux ressources applicatives qui ne sont pas ou mal effectués. C’est ainsi que les chercheurs ont baptisé leurs attaques : « Cross-App Ressource Access », ou « XARA ».

Pour bien faire les choses, ils ont testé la vulnérabilité de 1 612 applications Mac et 200 applications iOS. Le constat est que 88,6% de ces applications sont vulnérables, ce qui est particulièrement inquiétant !!!

Mais pour que cela soit grave, il faudrait qu’une application malveillante puisse être installée, ce qui est pratiquement impossible en vertu de tous les contrôles de sécurité mis en place par Apple autour du Mac App Store et de l’App Store. Eh bien non ! En effet, les chercheurs ont réussi à déposer toutes leurs applications malveillantes dans les boutiques d’Apple, et cela malgré toutes les sécurités en place !

Alors qu’il faut repenser le design des mécanismes de base des systèmes OS X et iOS, le chantier s’annonce colossal.



Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédent600 millions de téléphones Samsung potentiellement vulnérables aux attaques
Article suivantInbox by Gmail organise vos voyages

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here