Vulnérabilités de l'iPhone «Zero Interaction» d'Apple iOS découvertes et démontrées par les chercheurs en sécurité de Google à partir de Project Zero

Nouvelles
Pomme / Vulnérabilités de l'iPhone «Zero Interaction» d'Apple iOS découvertes et démontrées par les chercheurs en sécurité de Google à partir de Project Zero 5 minutes de lecture

Apple (Photo de Medhat Dawoud sur Unsplash)



Apple iOS, le système d'exploitation par défaut de tous les iPhones, contenait six vulnérabilités critiques «Zero Interaction». L’équipe d’élite «Project Zero» de Google, qui recherche les bogues graves et les failles logicielles, a découvert la même chose. Fait intéressant, l'équipe de recherche en sécurité de Google a également répliqué avec succès les actions qui peuvent être exécutées en utilisant les failles de sécurité dans la nature. Ces bogues peuvent potentiellement permettre à tout attaquant distant de prendre le contrôle administratif de l'iPhone d'Apple sans que l'utilisateur n'ait à faire autre chose que recevoir et ouvrir un message.

installer windows 10 sur disque dur externe

Les versions du système d'exploitation Apple iPhone antérieures à iOS 12.4 se sont révélées sensibles à six bogues de sécurité «sans interaction», découvert Google. Deux membres du Google Project Zero ont publié des détails et ont même démontré avec succès une preuve de concept pour cinq des six vulnérabilités. Les failles de sécurité peuvent être considérées comme assez graves simplement parce qu'elles nécessitent le moins d'actions exécutées par la victime potentielle pour compromettre la sécurité de l'iPhone. La vulnérabilité de sécurité a un impact sur le système d'exploitation iOS et peut être exploitée via le client iMessage.



Google suit des «pratiques responsables» et informe Apple des graves failles de sécurité de l'iPhone iOS:

Google révélera des détails sur les vulnérabilités de sécurité de l'iPhone d'Apple iOS lors de la conférence sur la sécurité Black Hat à Las Vegas la semaine prochaine. Cependant, le géant de la recherche a maintenu sa pratique responsable d'alerter les entreprises respectives des failles de sécurité ou des portes dérobées, et a d'abord signalé les problèmes à Apple pour lui permettre de publier des correctifs avant que l'équipe ne révèle les détails publiquement.



Prenant note des graves bogues de sécurité, Apple se serait précipité pour corriger les bogues. Cependant, cela n'a peut-être pas complètement réussi. Les détails sur l'une des vulnérabilités «sans interaction» sont restés confidentiels car Apple n'a pas complètement résolu le bogue. Les informations à ce sujet ont été fournies par Natalie Silvanovich, l'un des deux chercheurs de Google Project Zero qui a trouvé et signalé les bogues.



Le chercheur a également noté que quatre des six bogues de sécurité pourraient conduire à l'exécution de code malveillant sur un appareil iOS distant. Ce qui est encore plus inquiétant, c'est le fait que ces bogues ne nécessitaient aucune interaction de l'utilisateur. Les attaquants doivent simplement envoyer un message malformé spécifiquement codé sur le téléphone de la victime. Le code malveillant pourrait alors s'exécuter facilement après que l'utilisateur ait ouvert le message pour afficher l'élément reçu. Les deux autres exploits pourraient permettre à un attaquant de divulguer des données de la mémoire d'un appareil et de lire des fichiers sur un appareil distant. Étonnamment, même ces bogues n’ont pas nécessité d’interaction de l’utilisateur.

Apple pourrait-il corriger avec succès seulement cinq des six vulnérabilités de sécurité «zéro interaction» dans l'iPhone iOS?

Les six failles de sécurité étaient censées avoir été corrigées avec succès la semaine dernière, le 22 juillet. avec la version iOS 12.4 d'Apple . Cependant, cela ne semble pas être le cas. Le chercheur en sécurité a noté qu'Apple n'a réussi à corriger que cinq des six vulnérabilités de sécurité «Zero Interaction» dans l'iPhone iOS. Pourtant, les détails des cinq bogues corrigés sont disponibles en ligne. Google a offert la même chose via son système de rapport de bogues.

Les trois bogues qui ont permis l’exécution à distance et le contrôle administratif de l’iPhone de la victime sont CVE-2019-8647 , CVE-2019-8660 , et CVE-2019-8662 . Les rapports de bogues liés contiennent non seulement des détails techniques sur chaque bogue, mais également du code de preuve de concept qui peut être utilisé pour créer des exploits. Comme Apple n’a pas réussi à corriger le quatrième bogue de cette catégorie, les détails de celui-ci sont restés confidentiels. Google a marqué cette vulnérabilité de sécurité comme CVE-2019-8641.

Google a marqué les cinquième et sixième bogues comme CVE-2019-8624 et CVE-2019-8646 . Ces failles de sécurité pourraient potentiellement permettre à un attaquant d'accéder aux informations privées de la victime. Celles-ci sont particulièrement préoccupantes car elles peuvent divulguer des données de la mémoire d’un appareil et lire des fichiers depuis un appareil distant sans avoir besoin d’interaction de la part de la victime.

Avec iOS 12.4, Apple peut avoir bloqué avec succès toute tentative de contrôle à distance des iPhones via la plate-forme vulnérable iMessage. Cependant, l’existence et la disponibilité ouverte du code de preuve de concept signifient que les pirates ou les codeurs malveillants pourraient toujours exploiter les iPhones qui n’ont pas été mis à jour vers iOS 12.4. En d'autres termes, s'il est toujours recommandé d'installer les mises à jour de sécurité dès qu'elles sont disponibles, dans ce cas, il est essentiel d'installer la dernière mise à jour iOS publiée sans délai par Apple. De nombreux hackers tentent d'exploiter les vulnérabilités même après avoir été corrigées ou corrigées. En effet, ils savent pertinemment qu’un pourcentage élevé de propriétaires d’appareils n’effectuent pas de mise à jour rapide ou retardent simplement la mise à jour de leurs appareils.

Les failles de sécurité graves de l'iPhone iOS sont assez lucratives et financièrement gratifiantes sur le Dark Web:

Les six vulnérabilités de sécurité «Zero Interaction» ont été découvertes par Silvanovich et son collègue chercheur en sécurité Google Project Zero, Samuel Groß. Silvanovich présentera une présentation sur les vulnérabilités des iPhone distants et «sans interaction» lors de la conférence sur la sécurité Black Hat prévue à Las Vegas la semaine prochaine.

non disponible en dehors de votre réseau

' Zéro-interaction ' ou ' sans friction Les vulnérabilités sont particulièrement dangereuses et préoccupent profondément les experts en sécurité. UNE petit extrait de la discussion que Silvanovich prononcera lors de la conférence souligne les préoccupations concernant ces failles de sécurité au sein de l'iPhone iOS. «Il y a eu des rumeurs selon lesquelles des vulnérabilités distantes ne nécessitant aucune interaction de l'utilisateur pour attaquer l'iPhone, mais des informations limitées sont disponibles sur les aspects techniques de ces attaques sur les appareils modernes. Cette présentation explore la surface d'attaque distante et sans interaction d'iOS. Il discute du potentiel de vulnérabilités dans les SMS, MMS, Visual Voicemail, iMessage et Mail, et explique comment configurer les outils pour tester ces composants. Il comprend également deux exemples de vulnérabilités découvertes à l'aide de ces méthodes. »

La présentation devrait être l'une des plus populaires à la convention, principalement parce que les bogues iOS sans interaction de l'utilisateur sont très rares. La plupart des exploits iOS et macOS reposent sur le fait de convaincre la victime d'exécuter une application ou de révéler ses informations d'identification Apple. Un bogue sans interaction ne nécessite que l'ouverture d'un message corrompu pour lancer l'exploit. Cela augmente considérablement les risques d'infection ou de compromission de la sécurité. La plupart des utilisateurs de smartphones ont une surface d'écran limitée et finissent par ouvrir des messages pour vérifier son contenu. Un message intelligemment conçu et bien rédigé augmente souvent de façon exponentielle l'authenticité perçue, ce qui augmente encore les chances de succès.

Silvanovich a mentionné que de tels messages malveillants pouvaient être envoyés par SMS, MMS, iMessage, Mail ou même Visual Voicemail. Ils n’avaient qu’à se retrouver dans le téléphone de la victime et à être ouverts. «Ces vulnérabilités sont le Saint Graal d'un attaquant, lui permettant de pirater les appareils des victimes sans être détectés.» Incidemment, jusqu'à aujourd'hui, de telles vulnérabilités de sécurité minimales ou «d'interaction zéro» n'ont été utilisées que par des fournisseurs d'exploit et des fabricants d'outils d'interception légale et de logiciels de surveillance. Cela signifie simplement bogues très sophistiqués qui suscitent le moins de soupçons sont principalement découverts et échangés par les éditeurs de logiciels qui opèrent sur le Dark Web. Seulement groupes de piratage ciblés et parrainés par l'État ont généralement accès à eux. C'est parce que les vendeurs qui s'emparent de tels défauts les vendent pour d'énormes sommes d'argent.

Selon un tableau de prix publié par Zérodium , ces vulnérabilités vendues sur le Dark Web ou sur le marché noir des logiciels pourraient coûter plus d'un million de dollars chacune. Cela signifie que Silvanovich a peut-être publié des détails sur des failles de sécurité que les éditeurs de logiciels illégaux auraient facturés entre 5 et 10 millions de dollars. Crowdfense , une autre plate-forme qui fonctionne avec des informations de sécurité, affirme que le prix aurait facilement pu être beaucoup plus élevé. La plateforme fonde ses hypothèses sur le fait que ces failles faisaient partie de ' chaîne d'attaque sans clic ». De plus, les vulnérabilités fonctionnaient sur les versions récentes d'exploits iOS. Combiné au fait qu'il y en avait six, un fournisseur d'exploit aurait facilement pu gagner plus de 20 millions de dollars pour le lot.

Mots clés Pomme La cyber-sécurité Google iOS