Des chercheurs en sécurité ont trouvé une faille permettant d’intégrer un enregistreur de frappe dans une application en contournant le système de sécurité d’Apple.
Les chercheurs de chez FireEye, une entreprise spécialisée dans la sécurité, ont réussi à contourner le mécanisme de protection automatique de l’App Store en y introduisant une application néfaste permettant d’envoyer à distance tous les mouvements effectués sur un appareil sous iOS par un utilisateur. Comme sur l’image ci dessous, à chaque fois qu’une interaction intervient, sur n’importe quelle application, que ce soit avec le tactile, le Touch ID ou autres, l’information est envoyée à distance.
L’équipe de FireEye annonce avoir soumis une application utilisant ce processus à l’App Store, afin de montrer que le concept fonctionnait réellement. L’application a été acceptée, déjouant ainsi la sécurité automatique existante qui est sensée empêcher ce genre de logiciel malveillant d’atterrir sur les iDevices de tout le monde.
Même en interdisant l’application de se rafraîchir automatiquement via les paramètres du multitâche, elle continue d’être active. Le seul moyen actuel d’arrêter le processus d’exister est de le “tuer” via le multitâche.
La vulnérabilité est présente sur toutes les versions d’iOS 7 ansi que sur iOS 6.1. Ce problème est donc très inquiétant mais les chercheurs ont assuré avoir communiqué le problème à Apple afin qu’ils puissent résoudre le problème rapidement en proposant une mise à jour des appareils sous iOS.
Il s’agit de la deuxième vulnérabilité importante trouvée sur iOS récemment, après la découverte d’une erreur au niveau du protocole de vérification SSL.
On en parle sur le forum.
_
Suivez Belgium-iphone sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.
Recevez nos dernières infos directement sur votre WhatsApp en vous abonnant à notre chaine.