La vulnérabilité a été répertoriée comme étant CVE-2016-1730 et se trouvait dans WebSheet (une application iOS interne, non accessible à l'utilisateur, qui est utilisée lorsque l'utilisateur se connecte à certains réseaux Wi-Fi publics — ceux par lesquels vous devez vous identifier via une page web par exemple dans des endroits comme les aéroports, les hôtels, etc.).
Selon Adi Sharabani et Yair Amit, les deux chercheurs de Skycure qui ont été remerciés par Apple pour l'avoir signalé, la vulnérabilité réside dans la façon dont iOS traite les Cookies Stores lorsqu'il gère les portails captifs (une technique consistant à forcer les clients HTTP d'un réseau de consultation à afficher une page web spéciale (le plus souvent dans un but d'authentification) avant d'accéder à Internet normalement).
« Lorsque les utilisateurs iOS se connectent à un réseau dont la captivité est activée (une méthode souvent utilisée dans la plupart des réseaux Wi-Fi gratuits et payants dans les hôtels, les aéroports, les cafés, etc.), une fenêtre est automatiquement affichée sur l'écran de l'utilisateur, lui permettant d'utiliser un navigateur intégré pour se connecter au réseau via une interface HTTP. Dans le cadre de la recherche continue de Skycure sur les attaques de dispositifs mobiles lancés depuis un réseau, nous avons découvert que le navigateur intégré utilisé pour les portails captifs crée une vulnérabilité en partageant son Cookie Store avec Safari, le navigateur natif d'iOS », ont expliqué les chercheurs.
Dans le cas d'un succès, l'attaquant serait en mesure de :
- subtiliser les cookies utilisateur associés au site du choix du pirate, le rendant donc capable de se faire passer pour sa victime sur le site ;
- effectuer une attaque par fixation de session qui s'apparente au vol de session. En général, l'attaquant crée une session sur le serveur, puis il transmet ce numéro à la victime (par exemple par un lien), la victime s'authentifie en se servant de ce numéro de session. Ce qui donne à l'attaquant la possibilité d'utiliser le compte de la victime ;
- effectuer une attaque par empoisonnement de cache sur le site du choix de l'attaquant. De cette façon, le script JavaScript malveillant de l'attaquant sera exécuté à chaque fois que la victime se connectera sur le site avec la version mobile de Safari.
« Nous avons signalé ce problème à Apple le 3 juin 2013. C'est le temps le plus long qu'il a fallu à Apple pour colmater une faille que nous avons reportée. Il est important de préciser que le correctif de sécurité s'est avéré bien plus compliqué qu'il n'y paraît », ont avancé les chercheurs, ne manquant pas de préciser combien Apple a été « très réceptif et réactif pour s'assurer de la sécurité des utilisateurs iOS comme à l'accoutumée ».
Les utilisateurs sont donc vivement invités à effectuer la mise à jour.
Source : blog Skycure, Apple (à propos du contenu relatif à la sécurité d'iOS 9.2.1)
Voir aussi :
iOS 9.1 Beta 3 disponible avec des correctifs de bogues pour iCloud Keychain et Backup ainsi qu'un clavier amélioré
Une startup propose 1 million de dollars pour chaque faille zero-day trouvée sur iOS 9, l'offre cible l'iPhone 5, 6 et les iPad