L'écart zéro jour dans iOS lit les données personnelles de l'iPhone

Un concepteur fou a publié des informations sur quatre vulnérabilités dont Apple était bien conscient mais jamais fermées.

jour zéro de sécurité iphone

Apple gère un programme Bug Bounty dans lequel il propose de payer ceux qui découvrent et signalent également des défauts de sécurité et diverses autres susceptibilités. Néanmoins, il ne semble pas toujours agir sur ce qu'on lui dit.

Un développeur russe qui dit avoir signalé 4 vulnérabilités dans l'iphone à Apple entre mars et mai 2021, dont une seule a été fermée avec iOS 14.7. Il déclare également qu'Apple n'a jamais mentionné ses conclusions dans les notes de protection qui accompagnent la mise à niveau et a également cessé de le faire dans les notes de protection accompagnant les mises à jour ultérieures, même s'il s'est assuré de le faire. Lire : Apple lance des mises à jour de protection cruciales pour arrêter les logiciels espions.

Selon la personne qui a découvert les vides, il y en a trois qui restent ouverts. Se sentant irrité par l'absence de réaction d'Apple, il a actuellement publié des exemples du code sur Github, et les utilisateurs de Twitter ont également vérifié la présence des susceptibilités.

" Toute application mise en place à partir de l'App Store peut accéder aux données adhérentes sans aucun type de ponctuel de la part de l'utilisateur :" pic.twitter.com/hXpfqlgnDa

-- Kosta Eleftheriou (@keleftheriou).
24 septembre 2021

Les espaces qui n'ont pas encore été fermés concernent le Game Center d'Apple. De toute évidence, parmi les procédures d'arrière-plan de l'iphone ne vérifie pas si une application a l'autorisation d'exécuter toutes les fonctionnalités de Game Center. Cela peut amener n'importe quelle application montée à demander des informations sur l'utilisateur à Game Center. Le système peut ensuite accéder aux données suivantes : identifiant Apple et nom ; liste des contacts de Mail, SMS, iMessage, ainsi que d'autres applications d'opérateurs ; liste des favoris de l'application Contacts ainsi que leur numéro de téléphone, bases de données complètes de l'application Contacts et images des contacts.

Un autre vide, également actif sur l'iphone 15, peut permettre à tout type d'application installée de commencer à se demander si une autre application est configurée sur l'appareil concerné et d'obtenir une réponse.

Le troisième vide qui n'a pas encore été fermé est indiqué pour permettre à une application avec le consentement de la zone d'obtenir des informations Wi-Fi telles que le SSID.

Le 4ème espace a été fermé avec l'iphone 14.7. Avant iOS 14.7, le défaut indiquait que chaque application installée avait la possibilité d'obtenir tous les détails d'analytics, c'est-à-dire de l'analyse des accidents de l'iphone, etc.

Apple rassemble diverses informations sur la santé et le bien-être telles que la fréquence cardiaque, les cycles mensuels, le sexe ainsi que l'âge des individus. Ces informations ne sont examinées que si elles sont autorisées par les utilisateurs - vous êtes le plus susceptible de sélectionner Paramètres > > Confidentialité > > Analyse et améliorations > Santé et activité, Dossier de santé, Lavage des mains ainsi que Fauteuil roulant. Pour cette fonction, ces bases de données peuvent inclure des informations concernant les collisions d'applications, l'heure d'affichage sur le gadget, les langues des pages ouvertes dans Safari, etc.

Les susceptibilités étant reconnues depuis quelques heures, il n'existe pas encore de type de protection contre elles. On ne peut que suggérer de ne pas monter d'applications non identifiées jusqu'à ce qu'Apple ferme les susceptibilités.

Pour en savoir plus sur la sécurité sur l'iPhone d'Apple, lisez : Idées de sécurité pour l'iPhone d'Apple : Comment protéger votre téléphone des cyberpunks.

Cet article est initialement paru sur Macwelt. Traduction de Karen Haslam.

Click to rate this post!
[Total: 0 Average: 0]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *