Apple iOS, le système d'exploitation fonctionnant sur les iPhones, est vulnérable à de multiples nouvelles vulnérabilités de sécurité. Il est préoccupant de noter que les failles ne nécessitent aucune interaction de l'utilisateur. Les vulnérabilités de sécurité peuvent être exécutées entièrement sans que l'utilisateur ait jamais besoin d'effectuer une action, de cliquer sur un lien, de télécharger une application, etc. ce n'est pas la première fois que des failles aussi graves dans iOS sont découvertes .
Deux nouvelles vulnérabilités de sécurité graves au sein du système d'exploitation Apple iOS ont été révélées aujourd'hui. Apparemment, ces failles dans iOS permettent potentiellement aux attaquants d'accéder à un appareil iPhone fonctionnant sous iOS sans aucune action de l'utilisateur. Plus important encore, l'attaque exécutée à distance peut également permettre l'exécution de code à distance (RCE), qui peut inclure le contrôle administratif de l'iPhone de la victime. Bien qu'elles n'aient pas encore été officiellement corroborées, les vulnérabilités de sécurité nouvellement découvertes sont exploitées dans la nature. Apparemment, Apple est conscient des failles de sécurité et devrait publier une mise à jour pour corriger la même chose.
Apple iOS 6 au-dessus d'un appareil iPhone vulnérable aux vulnérabilités de sécurité nouvellement découvertes et activement exploitées:
Les vulnérabilités de sécurité récemment découvertes dans le système d'exploitation Apple iOS permettent à un attaquant de frapper à distance l'appareil de la victime. De plus, les failles permettent aux attaquants d'accéder à un appareil iOS sans aucune action de l'utilisateur. La majorité des attaques nécessitent une action de l'utilisateur comme cliquer sur un lien, installer une application ou ouvrir un document pour que l'attaque commence. Cependant, dans ce cas, l'attaquant peut simplement envoyer des e-mails qui consomment une quantité importante de mémoire et obtenir des capacités d'exécution de code à distance dans l'appareil.
Vulnérabilités et attaques Day-Zero;
Incidents de sécurité https://t.co/KAez4d9890
- Dr. Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) 22 avril 2020
Le sérieux vulnérabilités de sécurité dans iOS avec aucune interaction de l'utilisateur ont été découverts par la société de sécurité ZecOps. Les chercheurs de la société affirment que les attaquants utilisent déjà ces vulnérabilités dans la nature. Sans identifier les cibles, les chercheurs ont affirmé que les failles de sécurité nouvellement découvertes avaient été utilisées avec succès pour cibler les personnes suivantes:
- Individus d'une organisation Fortune 500 en Amérique du Nord
- Un cadre d'un transporteur au Japon
- Un VIP d'Allemagne
- MSSP d'Arabie saoudite et d'Israël
- Un journaliste en Europe
- Suspecté: un cadre d'une entreprise suisse
iOS est un système d'exploitation entièrement fermé conçu et développé par Apple. Il est strictement contrôlé et réglementé. Le système d'exploitation n'est pas aussi ouvert que Google Android. La dernière itération d'iOS est iOS 13. Cependant, tous les appareils exécutant iOS 6 et supérieur sont affectés par ces failles de sécurité. Les chercheurs en sécurité qui enquêtent sur les vulnérabilités ont mis en évidence les façons dont les attaquants peuvent compromettre un iPhone Apple iOS exécutant. Dans les versions récentes d'iOS, l'attaque peut être effectuée par les moyens ci-dessous:
- Attaque sur iOS 13: attaques non assistées (/ zéro-clic) sur iOS 13 lorsque l'application Mail est ouverte en arrière-plan
- Attaque sur iOS 12: L'attaque nécessite un clic sur l'email. L'attaque sera déclenchée avant le rendu du contenu. L'utilisateur ne remarquera rien d'anormal dans l'e-mail lui-même
- Des attaques non assistées sur iOS 12 peuvent être déclenchées (aka zéro-clic) si l'attaquant contrôle le serveur de messagerie
Les chercheurs découvrent une paire de vulnérabilités de sécurité dans l'application iOS Mail, Apple travaille sur un correctif https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- i Phone Doctor (@Mr_iPhoneDoctor) 22 avril 2020
Apple va corriger les vulnérabilités de sécurité dans la prochaine mise à jour:
Les chercheurs affirment qu'Apple est conscient de ces failles de sécurité dans iOS. Ils ont ajouté qu'Apple devrait publier une mise à jour incrémentielle d'iOS qui comprendra un correctif qui corrigera les vulnérabilités. Cependant, jusqu'à ce qu'Apple publie une mise à jour, il existe un moyen d'éviter d'être ciblé ou d'être victime des bogues de sécurité.
Deux vulnérabilités zero-day affectant les appareils iPhone et iPad ont été découvertes par la start-up de cybersécurité ZecOps après la découverte d'une série d'attaques à distance en cours qui ont ciblé iO… via @BleepinComputer #Sécurité #technologie #WednesdayWisdom https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22 avril 2020
Les chercheurs conseillent d'éviter complètement l'application Apple Mail. Il s'agit de la plate-forme de courrier électronique conçue, développée et maintenue par Apple. Incidemment, l'application de messagerie prend en charge les comptes de messagerie tiers tels que Gmail, Outlook, etc. Par conséquent, jusqu'à ce qu'Apple publie une mise à jour pour corriger les bogues, les utilisateurs peuvent dépendre de l'application Microsoft Outlook ou d'autres clients de messagerie similaires.
[Mettre à jour] Apple aurait publié une mise à jour pour corriger les deux vulnérabilités de sécurité dans l'application Apple Mail.
Mots clés PommeApple corrige deux vulnérabilités de sécurité affectant l'application de messagerie dans iOS 13.4.5 bêta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 22 avril 2020
![[FIX] Erreur iTunes -42110 lors de l'achat ou du téléchargement de médias](https://jf-balio.pt/img/how-tos/03/itunes-error-42110-when-purchasing.png)