Découverte d'une faille de sécurité critique dans iOS
Une application malveillante se retrouve sur l'App Store

Le , par Hinault Romaric, Responsable .NET
Charlie Miller, un ancien analyste de la NSA, reconnu pour avoir déjà trouvé plusieurs vulnérabilités dans les systèmes d’Apple, vient de révéler une nouvelle faille critique dans les terminaux iOS.

La faille se situe au niveau du moteur JavaScript du navigateur Safari dans la politique de restriction de la signature de code, qui permet d’exécuter des commandes non autorisées dans un espace de la mémoire du dispositif.

La vulnérabilité peut-être exploitée par des pirates pour exécuter du code distant, voler ou détruire les données des utilisateurs et envoyer des SMS.

Comme preuve de faisabilité, Miller a développé une application de gestion boursière « déguisée », qui a franchi toutes les étapes de vérification effectuées par Apple pour se retrouver sur l’App Store.

L’application InstaStock, après son installation, se connecte à un serveur distant pour télécharger et exécuter du code non signé, afin d’obtenir un accès au dispositif, et dérober des données.

Le chercheur a déclaré dans une vidéo dans laquelle il met les utilisateurs d’iOS en garde, avoir publié cette application à des fins de démonstration uniquement. « Jusqu'ici, vous pouviez télécharger n'importe quoi sur l'App Store sans craindre un logiciel malveillant. À présent, vous ne savez plus de quoi est capable une application » affirme celui-ci.

[ame="http://www.youtube.com/watch?v=ynTtuwQYNmk"]InstaStock[/ame]

Apple, informé de la situation, a rapidement supprimé cette application et expulsé Miller de son programme développeur iOS, pour violation de la clause contractuelle qui interdit de "cacher, dénaturer ou occulter des fonctionnalités, contenus, services dans les applications soumises".

Microsoft, aux aguets comme désormais de coutume avec les développeurs dans cette situation, n’a pas hésité à proposer à Miller de rejoindre son programme. « Hey Charlie, désolé pour la suppression de ton compte. Veux-tu un compte Windows Phone gratuit ? » Peut-on lire sur le compte Twitter de Brandon Watson, responsable de la relation avec les développeurs pour Windows Phone.

Miller présentera les détails sur sa découverte la semaine prochaine à Taïwan lors de la conférence Syscan.

Une faille qui remet donc en cause la sécurité de l’App Store, et en particulier la politique de publication restrictive d’Apple.

Source : Forbes, Twitter Brandon Watson

Et vous ?

Que pensez-vous de la réaction d’Apple ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kOrt3x kOrt3x - Modérateur https://www.developpez.com
le 11/11/2011 à 23:05
La faille a était corrigée avec la dernière mise à jour 5.0.1.
Avatar de CAML CAML - Membre averti https://www.developpez.com
le 14/11/2011 à 16:45
Drôle de façon de traiter une personne qui vient d'apporter une meilleure sécurité à iOS....
Avatar de Twinspirit Twinspirit - Membre du Club https://www.developpez.com
le 16/11/2011 à 18:17
Quand on pense qu'un des principaux arguments anti-Flash d'Apple était la présence de failles de sécurité dans le player...
Offres d'emploi IT
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil