Une faille dans iOS permet de prendre le contrôle des appareils d'Apple
IPhone, iPad et iPod sont touchés, Apple s'inquiète
Le 2010-08-04 13:18:48, par Idelways, Expert éminent sénior
Mise à jour du 12/08/10
Apple n'a pas tardé à réagir face à la gravité (et la simplicité) des exploits rendus possibles par la faille découverte la semaine dernière.
Pour mémoire, cette faille concerne la manière dont Safari Mobile gère les PDF. Un code malicieux utilisant cette vulnérabilité pourrait s'affranchir de la sandbox protectrice d'iOS et obtenir les droits root (lire ci-avant).
Un site, Jailbreakme.com, avait même utilisé la méthode pour proposer le déverrouillage en ligne des terminaux mobiles. Un exploit légal et surtout non-malicieux, mais qui aurait pu donner des idées à des hackers moins bien intentionnés (des pirates donc).
Pour éviter cette situation désagréable, Apple vient de sortir un patch qui sécurise la manière dont le navigateur mobile d'Apple gère les PDF.
Ce correctif est disponible via iTunes. Il est également livré avec les versions 4.0.2 de iOS (pour l'iPhone et l'iPod Touch) et la 3.2.2 pour l'iPad.
Il est - bien évidemment - très fortement recommandé de faire ces mises à jour et de l'appliquer le plus rapidement possible.
Si vous voulez garder le contrôle de votre appareil bien sûr.
Et vous ?
Pensez-vous que la réaction d'Apple et sa rapidité ont été exemplaire dans cette affaire ? Ou au contraire qu'Apple peu tmieux faire ?
MAJ de Gordon Fowler
Une faille dans iOS permet de prendre le contrôle des appareils d'Apple
iPhone, iPad et iPod sont touchés, Apple s'inquiète
Contrairement aux « Jailbreaks » précédents, qui nécessitaient que l'iPhone soit connecté à un ordinateur, la dernière méthode de déverrouillage de iOS 4 peut se faire via un site Web (jailbreakme.com) avec comme seul outil le navigateur Safari.
Or, si un Jailbreak peut être effectué avec Safari, on imagine facilement les potentialités de prise de contrôle à distance de l'iPhone (ou de l'iPod touch ou de l'iPad).
Cette méthode de déverrouillage s'appuie en fait sur une faille, liée au lecteur PDF. Une faille de chargement des polices de caractère du lecteur plus précisément. Un code malicieux qui exploite cette vulnérbilité pourrait même s'affranchir de la sandbox protectrice d'iOS 4 et obtenir les droits root.
Résultat : un accès sans restriction à tout l'appareil sur toutes les versions de l'iOS, exceptée, peut-être la 4.1 bêta actuellement en cours de tests.
Si Jailbreakme.com est pour le moment le seul exploit de cette faille, un exploit légal et surtout non-malicieux, d'autres hackers mal intentionnés eux, pourraient analyser et décompiler le code de cette méthode pour l'utiliser dans des applications nettement moins recommandables.
Apple a reconnu le problème et semble être préoccupé par cette vulnérabilité.
Aucune date n'est en revanche annoncée pour colmater cette faille importante.
En attendant, le site Mac Stories propose une méthode pour prévenir le chargement automatique des PDF sur iOS (Anglais).
Source : Dépêche de Reuters
Lire aussi :
Les cybercriminels exploitent le déverrouillage de l'iPhone pour propager leurs malwares en utilisant des techniques d'ingénierie sociale
La justice américaine rend légal le jailbreak de l'iPhone, victoire ou aberration ?
Les ventes d'Android auraient dépassé celles de l'iPhone aux Etats-Unis : retournement du marché ou simple attente de l'iPhone 4 ?
Les rubriques (actu, forums, tutos) de Développez :
Mac
Sécurité
Mobile
Systèmes
Et vous ?
En tant qu'utilisateurs de l'iPhone/iPad/iPod Touch, la présence de cette faille changera-t-elle vos habitudes d'utilisation et de navigation ?
Les produits Apple sont-ils si sécurisés ?
En collaboration avec Gordon Fowler
Apple n'a pas tardé à réagir face à la gravité (et la simplicité) des exploits rendus possibles par la faille découverte la semaine dernière.
Pour mémoire, cette faille concerne la manière dont Safari Mobile gère les PDF. Un code malicieux utilisant cette vulnérabilité pourrait s'affranchir de la sandbox protectrice d'iOS et obtenir les droits root (lire ci-avant).
Un site, Jailbreakme.com, avait même utilisé la méthode pour proposer le déverrouillage en ligne des terminaux mobiles. Un exploit légal et surtout non-malicieux, mais qui aurait pu donner des idées à des hackers moins bien intentionnés (des pirates donc).
Pour éviter cette situation désagréable, Apple vient de sortir un patch qui sécurise la manière dont le navigateur mobile d'Apple gère les PDF.
Ce correctif est disponible via iTunes. Il est également livré avec les versions 4.0.2 de iOS (pour l'iPhone et l'iPod Touch) et la 3.2.2 pour l'iPad.
Il est - bien évidemment - très fortement recommandé de faire ces mises à jour et de l'appliquer le plus rapidement possible.
Si vous voulez garder le contrôle de votre appareil bien sûr.
Et vous ?
MAJ de Gordon Fowler
Une faille dans iOS permet de prendre le contrôle des appareils d'Apple
iPhone, iPad et iPod sont touchés, Apple s'inquiète
Contrairement aux « Jailbreaks » précédents, qui nécessitaient que l'iPhone soit connecté à un ordinateur, la dernière méthode de déverrouillage de iOS 4 peut se faire via un site Web (jailbreakme.com) avec comme seul outil le navigateur Safari.
Or, si un Jailbreak peut être effectué avec Safari, on imagine facilement les potentialités de prise de contrôle à distance de l'iPhone (ou de l'iPod touch ou de l'iPad).
Cette méthode de déverrouillage s'appuie en fait sur une faille, liée au lecteur PDF. Une faille de chargement des polices de caractère du lecteur plus précisément. Un code malicieux qui exploite cette vulnérbilité pourrait même s'affranchir de la sandbox protectrice d'iOS 4 et obtenir les droits root.
Résultat : un accès sans restriction à tout l'appareil sur toutes les versions de l'iOS, exceptée, peut-être la 4.1 bêta actuellement en cours de tests.
Si Jailbreakme.com est pour le moment le seul exploit de cette faille, un exploit légal et surtout non-malicieux, d'autres hackers mal intentionnés eux, pourraient analyser et décompiler le code de cette méthode pour l'utiliser dans des applications nettement moins recommandables.
Apple a reconnu le problème et semble être préoccupé par cette vulnérabilité.
Aucune date n'est en revanche annoncée pour colmater cette faille importante.
En attendant, le site Mac Stories propose une méthode pour prévenir le chargement automatique des PDF sur iOS (Anglais).
Source : Dépêche de Reuters
Lire aussi :
Les rubriques (actu, forums, tutos) de Développez :
Et vous ?
En collaboration avec Gordon Fowler
-
grafikm_frExpert confirméCette méthode de déverrouillage s'appuie en fait sur une faille, lié au lecteur PDF.le 04/08/2010 à 13:35
-
Louis GriffontInactifC'est pas le même discours que quand c'est Microsoft qui est touché ! Etonnant, non ?le 05/08/2010 à 9:42
-
trentonMembre expérimentéEn même temps, un système sans faille ça n'existe pas, l'important c'est de savoir dans combien de temps la correction sera proposée aux utilisateurs.le 05/08/2010 à 9:30
-
GénoceMembre éclairéC'est clair que c'est les pubs humoristiques qu'on retient le mieux!
Les pubs qui m'énervent, ce sont celles en musique dans un monde coloré ou tout le monde est beau et gentil car ils consomment ce [ Produit ].
J'ai plus de télé et c'est très bien comme ça !le 05/08/2010 à 14:36 -
GanYoshiMembre chevronnéSauf que umeboshi faisait de l'ironie, mais ça quand on est obsédé par une haine on calcule un peu moins.
Moi c'est la publicité mercurochrome, dans le genre on te bourre le crâne en te passant trois fois à suivre la même pub, ils sont forts.le 05/08/2010 à 15:09 -
FailManMembre expertCe qui est normal, vu que lorsque tu achètes Windows avec une machine il est en licence OEM, donc si tu as envie de rester dans l'illégalité, c'est ton problème. Si le type de licence te plait pas, n'achète pas.le 05/08/2010 à 15:45
-
GénoceMembre éclairéle 05/08/2010 à 16:08
-
HellwingMembre chevronnéSans vouloir m'imiscer dans votre guéguerre à deux balles, je serais curieux de savoir ce que ce propos vient faire ici (surtout tourné de cette manière).le 06/08/2010 à 9:10
-
Caly4DEn attente de confirmation maille 06/08/2010 à 9:29
-
cortex024Membre extrêmement actifbien sûr.
Mais ça, les anti-MS (M$ comme les boulets aiment écrire) n'ont jamais compris ça.
Windows avait +90% des parts de marchés, forcément que attaquer un autre système n'était pas intéressant.
Maintenant que d'autres produits arrivent sur le devant de la scène, on va commencer à voir la réalité en facele 12/08/2010 à 11:41