Un chercheur en sécurité de chez Google développe un exploit permettant l'accès à n'importe quel iPhone

Un chercheur en sécurité de Google Project Zero a découvert une vulnérabilité dans iOS qui lui permettait de prendre le contrôle de n’importe quel iPhone à proximité sans presqu’aucune interaction de la victime, à travers un exploit de proximité sans clic (zero-click proximity exploit).

Le pire type de vulnérabilité est celui qui permet aux cybercriminels de prendre le contrôle d’un appareil ou d’un logiciel sans intervention de la victime. Dans les vulnérabilités modérées, l’attaque nécessite généralement une intervention de la victime, mais avec la découverte du chercheur en sécurité Ian Beer, tout est entièrement invisible.

 

«L’ensemble de cet exploit n’utilise qu’une seule vulnérabilité de corruption de mémoire pour compromettre l’appareil haut de gamme iPhone 11 Pro», a déclaré Beer. «Avec ce seul problème, j’ai pu contourner toutes les atténuations afin d’obtenir à distance l’exécution de code natif et les accès de lecture et d’écriture de la mémoire du noyau.»

La bonne nouvelle, s’il y en a, c’est que le chercheur a eu besoin de six mois de travail. Mais il précise que nous devrions regarder cette situation dans l’autre sens. Il n’a fallu QUE six mois à une personne pour compromettre complètement un appareil largement utilisé et réputé sécurisé.

Le chercheur a expliqué que certaines atténuations sont possibles et que l’histoire n’a été publiée que maintenant. La vulnérabilité a été corrigée dans une mise à jour iOS en mai. Mais il souligne également qu’il y a encore une marge de manœuvre en raison de la mise en œuvre d’un ancien code hérité qui lui persiste, étant toujours en cours d’utilisation.

 

«Il faudrait une stratégie et un plan à long terme sur la façon de moderniser l’énorme quantité de code hérité critique qui forme le cœur d’iOS», a également déclaré le chercheur en sécurité. “Suivez mes yeux, vm_map.c, écrit à l’origine en 1985 et toujours utilisé aujourd’hui !”

Un article exhaustif et très technique est disponible sur le site de Google Project Zero.