La faille en question permet de contourner les vérifications de sécurité de l’App Store.

Une nouvelle vulnérabilité de l’App Store a été repérée et exposée sur la toile par le hacker suisse Siguza. Il s’agit d’un bug qui se situe au niveau de la lecture des fichiers XML qui permet à des pirates ou des développeurs peu scrupuleux de contourner certaines vérifications de sécurité de l’App Store avant la publication d’une application, expliquent nos collègues de 01net. En agissant de la sorte, les personnes mal intentionnées sont en mesure de conférer des privilèges d’accès à leurs applications.

En exploitant cette faille, il est possible pour des pirates de siphonner les données personnelles d’un iPhone à l’insu de son propriétaire ; mails, messages, contacts, etc.

En partageant les détails techniques de la vulnérabilité avant qu’un patch ne soit accessible au public – permettant ainsi à d’autres pirates d’en profiter -, le hacker a indiqué qu’il avait repéré cette faille en 2017 et qu’il l’avait utilisée à de nombreuses reprises dans le cadre de « projets de recherche ». Or, l’intérêt de la publication de ces détails techniques sera de courte durée puisqu’Apple s’apprête à corriger cette faille dite “zero-day” avec la version iOS 13.5.

Il faudra cependant encore patienter quelques semaines pour en profiter. La mise à jour n’est pas attendue avant juin. En attendant, il est conseillé de ne pas télécharger des applications d’origines inconnues sur l’App Store, histoire de minimiser les risques.