iOS : une faille zero-day qui fait crasher en boucle les iPhone

Des chercheurs en sécurité ont découvert une faille zero-day dans iOS qui permet de faire crasher en boucle les iPhone et les iPad.

C’est à l’occasion de la conférence RSA 2015, qui se tient actuellement à San Francisco, que les chercheurs en sécurité Adi Sharabani et Yai Amit ont dévoilé une faille zero-day qui affecte iOS 8. Située dans la gestion des connexions SSL, l’exploitation de cette vulnérabilité permet de faire planter indéfiniment un appareil Apple.

Ils ont découvert que l’envoi d’un certificat SSL un peu trafiqué fait planter le système. On combinant cette faille à une tactique d’usurpation, en créant un faux réseau Wi-Fi qui utilise un identifiant SSID générique qui pourrait susciter des connexions automatiques, par exemple les réseaux Wi-Fi des opérateurs, des gares, des chaînes de restauration, etc., un terminal iOS configuré pour se connecter automatiquement qui entrerait dans une telle zone planterait immédiatement, et le referait en boucle comme le montre cette vidéo.

C’est à cause de cette notion de zone que les chercheurs ont baptisé cette faille « No iOS Zone ».

Vu que cette faille n’est pas encore totalement corrigée par Apple, les chercheurs n’ont pas donné de détails techniques au sujet du bug SSL. Si « la version 8.3 semble résoudre certains problèmes », tout n’est pas encore corrigé.

Pour les chercheurs, leur prochain objectif va être de faire planter les terminaux iOS non pas au travers d’un faux réseau Wi-Fi, mais en interceptant les requêtes HTTP et en redirigeant l’utilisateur vers un faux site.

Tags

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Fermer

Adblock détecté

S'il vous plaît envisager de nous soutenir en désactivant votre bloqueur de publicité