Découvertes d’importantes failles de sécurité zero day sur iOS et OS X… connues d’Apple

Sur le web

Par Elodie le

Bis repetita. Apple est de nouveau épinglé pour des failles de sécurité découvertes sur iOS et OS X, par des chercheurs universitaires cette fois-ci. Ces failles permettraient de contourner les contrôles de sécurité sur l’App Store et donneraient ainsi accès à des mots de passe et données sensibles notamment.

Découvertes_importantes_failles_sécurité_zero_Day_iOS_OSX

Si Tim Cook entend protéger la vie privée des utilisateurs d’Apple, il ferait bien de commencer par sécuriser l’écosystème Apple. Car si la firme axe sa stratégie sur le renforcement de la sécurité de ces produits et services, force est de constater que les failles perdurent et les solutions se font attendre.

Après une importante faille SSL en février 2014 sur OS X, puis une rencontrée en janvier dernier par le chercheur Jan Soucek sur Apple Mail et iCloud, six chercheurs publient un article dans lequel ils assurent avoir débusqué plusieurs failles touchant au système d’exploitation d’Apple.

Ainsi, une application malveillante peut être introduite sur l’App Store, sans être signalée et déclencher un signal d’alarme. Ce malware s’attaque ensuite à Keychain (gestionnaire de mot de passe) et permet de procéder au vol de plusieurs mots de passe et tokens d’identification sur les diverses applications installées et utilisant Keychain.

Les failles présentes, appelées Cross App Resources attacks (ou XARA), exploitent les vulnérabilités « zero day » (non corrigées) dans le processus de communication entre les applications sur iOS et OS X, permettant ainsi de contourner la protection supposée des sandbox.
« Les conséquences de ces attaques sont désastreuses », préviennent les chercheurs. Sur 1612 applications sur OS X et 200 applications parmi les plus populaires sur iOS, 88,6% d’entre elles sont exposées à des failles XARA.
Les chercheurs ont débuté leurs recherches sur Android en étudiant les failles découvertes sur l’OS de Google.

Les problèmes de s’arrêtent pas là pour Apple puisqu’il s’avère que la firme de Cupertino était au courant de la découverte des chercheurs depuis octobre 2014. Néanmoins, selon The Register, elle a demandé un délai de 6 mois pour trouver une solution avant la publication des résultats de recherche des six chercheurs. Force est de constater que la firme n’y est pas parvenue. Les vulnérabilités « jour zéro » sont toujours présentes…