IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Découverte d'une faille de sécurité critique dans iOS
Une application malveillante se retrouve sur l'App Store

Le , par Hinault Romaric
3 commentaires

5PARTAGES

2  1 
Charlie Miller, un ancien analyste de la NSA, reconnu pour avoir déjà trouvé plusieurs vulnérabilités dans les systèmes d’Apple, vient de révéler une nouvelle faille critique dans les terminaux iOS.

La faille se situe au niveau du moteur JavaScript du navigateur Safari dans la politique de restriction de la signature de code, qui permet d’exécuter des commandes non autorisées dans un espace de la mémoire du dispositif.

La vulnérabilité peut-être exploitée par des pirates pour exécuter du code distant, voler ou détruire les données des utilisateurs et envoyer des SMS.

Comme preuve de faisabilité, Miller a développé une application de gestion boursière « déguisée », qui a franchi toutes les étapes de vérification effectuées par Apple pour se retrouver sur l’App Store.

L’application InstaStock, après son installation, se connecte à un serveur distant pour télécharger et exécuter du code non signé, afin d’obtenir un accès au dispositif, et dérober des données.

Le chercheur a déclaré dans une vidéo dans laquelle il met les utilisateurs d’iOS en garde, avoir publié cette application à des fins de démonstration uniquement. « Jusqu'ici, vous pouviez télécharger n'importe quoi sur l'App Store sans craindre un logiciel malveillant. À présent, vous ne savez plus de quoi est capable une application » affirme celui-ci.

[ame="http://www.youtube.com/watch?v=ynTtuwQYNmk"]InstaStock[/ame]

Apple, informé de la situation, a rapidement supprimé cette application et expulsé Miller de son programme développeur iOS, pour violation de la clause contractuelle qui interdit de "cacher, dénaturer ou occulter des fonctionnalités, contenus, services dans les applications soumises".

Microsoft, aux aguets comme désormais de coutume avec les développeurs dans cette situation, n’a pas hésité à proposer à Miller de rejoindre son programme. « Hey Charlie, désolé pour la suppression de ton compte. Veux-tu un compte Windows Phone gratuit ? » Peut-on lire sur le compte Twitter de Brandon Watson, responsable de la relation avec les développeurs pour Windows Phone.

Miller présentera les détails sur sa découverte la semaine prochaine à Taïwan lors de la conférence Syscan.

Une faille qui remet donc en cause la sécurité de l’App Store, et en particulier la politique de publication restrictive d’Apple.

Source : Forbes, Twitter Brandon Watson

Et vous ?

Que pensez-vous de la réaction d’Apple ?

Une erreur dans cette actualité ? Signalez-nous-la !

3 commentaires
Commenter Signaler un problème
kOrt3x
Avatar de kOrt3x
Modérateur https://www.developpez.com
Le 11/11/2011 à 23:05
La faille a était corrigée avec la dernière mise à jour 5.0.1.
1  0 
CAML
Avatar de CAML
Membre averti https://www.developpez.com
Le 14/11/2011 à 16:45
Drôle de façon de traiter une personne qui vient d'apporter une meilleure sécurité à iOS....
0  0 
Twinspirit
Avatar de Twinspirit
Membre du Club https://www.developpez.com
Le 16/11/2011 à 18:17
Quand on pense qu'un des principaux arguments anti-Flash d'Apple était la présence de failles de sécurité dans le player...
0  0