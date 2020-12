Ian Beer, chercheur en sécurité chez Google Project Zero, a rapporté une vulnérabilité qui permet de prendre le contrôle de certains appareils iOS, à distance et sans avoir besoin d’avoir un contact physique avec le téléphone.

Accédez aux e-mails et à tout type de message, téléchargez des photos et même espionnez via microphone et caméra. Tout cela sans avoir besoin de toucher le téléphone, mais avec l’exigence de l’avoir proche. La vulnérabilité a déjà été résolue et transmise à Apple, mais il est toujours curieux de savoir comment un seul ingénieur suffit à mettre en péril une version récente d’iOS.

Il fallait juste être proche du mobile pour attaquer

L’ingénieur rapporte que trouvé la vulnérabilité par rétro-ingénierie manuellel, il n’y a donc aucune preuve que la vulnérabilité a été exploitée par des tiers. Cependant, cela a été signalé à Apple.

Une erreur de programmation dans le protocole utilisé par des fonctions comme AirDrop, à l’origine de tout ce désordre

Comme indiqué, tout cela est dû à une erreur de programmation de dépassement de tampon dans le code du noyau C ++. Plus simplement, tout est basé sur le fait que les iPhone, iPads, Mac et Apple Watch utilisent un protocole appelé Lien direct sans fil Apple (AWDL), quelque chose qui vous permet de créer des maillages de réseau pour des fonctions telles que AirDrop ou Sidecar.

Décompilation du code qui montre une partie de la vulnérabilité.

Les appareils n’ont même pas besoin d’être connectés au réseau, de sorte qu’un iPhone peut être contrôlé complètement hors ligne. L’attaquant, depuis un ordinateur, peut forcer une attaque grâce à la vulnérabilité dans AWDL. Après l’attaque, il est possible d’éteindre l’appareil à distance, d’accéder à ses informations et même d’activer un microphone et une caméra sans autorisation.

Il est important de souligner que cette vulnérabilité est tombé sur un iPhone 11 Pro sous iOS 13.3. Apple, qui a reconnu la vulnérabilité, déclare que la plupart des utilisateurs utilisent des versions plus récentes dans lesquelles ce bogue est déjà corrigé. Par conséquent, il est recommandé aux utilisateurs de toujours mettre à jour vers la dernière version d’iOS.

Via | Le bord

Partager Une vulnérabilité iOS permettait aux attaquants de contrôler et d’espionner un iPhone à distance