Apple : faille 0-day mortelle pour iOS et OS X
Des chercheurs ont découvert une faille mortelle pour iOS et OS X, une vulnérabilité qui perce le trousseau d’Apple en brisant le bac à sable et contournant les contrôles de sécurité de l’App Store.
Six chercheurs universitaires ont découvert une faille mortelle pour iOS et OS X, une vulnérabilité 0-day qui permettrait de percer le trousseau d’Apple en brisant le bac à sable et en contournant les contrôles de sécurité de l’App Store, ce qui permettrait aux attaquants de voler les mots de toutes les applications installées, y compris celui du client de la messagerie.
C’est sans déclencher d’alerte que l’équipe a été en mesure de télécharger des logiciels malveillants sur l’App Store, ce pourrait permettre le vol de mots de passe pour des services tels qu’iCloud et Mail.
Luyi Xing, chercheur principal, explique que son équipe a accepté la demande de suspendre pendant 6 mois la publication de leur découverte. Il explique aussi n’avoir eu aucun retour au sujet d’un correctif, et que les failles sont toujours présentes à l’heure actuelle.
Apple n’est pour le moment pas joignable pour commenter cette faille mortelle.
C’est pour cette raison que Luyi Xing, Xiaolong Bai, XiaoFeng Wang, et Kai Chen de l’université de l’Indiana, ainsi que Li Tongxin de l’Université de Pékin et Xiaojing Liao du Georgia Institute of Technology ont rédigé un document intitulé « Unauthorized Cross-App Resource Access on MAC OS X and iOS » pour expliquer cette faille.
« Récemment, nous avons découvert un ensemble de vulnérabilités de sécurité dans OS X et iOS d’Apple qui permet à une application malveillante d’accéder sans autorisation à des données sensibles d’autres applications telles que des mots de passe et jetons pour iCloud, pour l’application Mail et tous les mots de passe web stockées par Google Chrome », explique Luyi Xing.
« Nos applications malveillantes sont passées avec succès au travers du processus de vérification d’Apple et ont été publiées sur le Mac App Store et l’App Store d’iOS ».
« Nous avons complètement craqué le service de trousseau utilisé pour stocker les mots de passe et d’autres informations d’identification pour différentes applications d’Apple, et les conteneurs du bac à sable sur OS X, et aussi identifié de nouvelles faiblesses dans les mécanismes de communication interapplication sur OS X et iOS qui peuvent être utilisés pour voler des données confidentielles provenant d’Evernote, Facebook et d’autres applications de grande envergure ».
L’équipe de chercheurs a également réussi à piller des références bancaires à partir de Google Chrome pour le dernier OS X 10.10.3, en utilisant une application de bac à sable pour voler des mots de passe et jetons secrets d’iCloud.
Les photos volées sur WeChat et les jetons d’Evernote qui ont été capturés prouvent que ces services ont été totalement compromis.
« Les conséquences sont désastreuses », a écrit l’équipe dans son document.
Ils ont trouvé que 88,6% des 1 612 applications pour Mac et 200 applications iOS s’avèrent « complètement exposées » à des accès cross-application non autorisée (XARA), des attaques malicieuses permettant de voler des données normalement sécurisées.
Les problèmes découverts ont été signalés à Apple en octobre 2014 ! Au mois de février, la marque à la pomme a par ailleurs demandé une copie anticipée de leur document de recherche, avant qu’il soit rendu public.
De son côté, l’équipe de sécurité de Google a été plus réactive vu que l’intégration du Keychain a été retirée de Chrome au motif que le problème ne pouvait pas être résolu au niveau de l’application.
« Il faut remarquer que notre code d’attaque contourne non seulement la protection au niveau du système d’exploitation, mais peut aussi passer au travers du processus de validation de l’application des Apple Stores, rendant complètement désuet sa défense multicouche ». Les chercheurs considèrent que pratiquement tous les problèmes de XARA proviennent des mécanismes de partage des ressources interapplication et de communication d’Apple tels que le trousseau pour le partage de mots de passe.
Hormis le fait que cette équipe a mis en lumière une faille mortelle pour iOS et OS X, elle a aussi mis en évidence une nouvelle manière de procéder pour attaquer.
Source : Theregister.co.uk