Des chercheurs en sécurité de Google ont révélé l’existence de 14 vulnérabilités affectant les utilisateurs d’iPhone, même bénéficiant des patchs de sécurité à jour, depuis deux ans. Un simple surf sur un site web malveillant permet à des pirates d’accéder à des messages et de géolocaliser les utilisateurs.
14 vulnérabilités ont été détectées liées au navigateur de l’iPhone et à son noyau iOS ainsi que deux « sandbox escapes » par les chercheurs en sécurité de Google. (crédit : Pexels / Pixabay)
Tempête en vue chez Apple. L’équipe de chercheurs en sécurité du Threat Analysis Group (TAG) de l’entité Project Zero de Google, a réalisé une vaste enquête sur des vulnérabilités de sécurité affectant les utilisateurs d’iPhone. « TAG a été en mesure de collecter cinq chaînes d’exploitation iPhone distinctes, complètes et uniques couvrant presque toutes les versions, de iOS 10 à la dernière version d’iOS 12 », peut-on lire dans un billet signé du white hacker Ian Beer travaillant pour le Project Zero de Google.
En tout, 14 vulnérabilités ont été détectées liées au navigateur de l’iPhone et à son noyau iOS ainsi que deux « sandbox escapes » permettant d’accéder de façon illégitime à des données du terminal. Une première analyse a permis de déterminer qu’au moins une des chaînes d’escalade de privilèges était une faille zero day (non patchée). Google a alerté Apple en février qui a publié en conséquence une version à jour d’iOS 12 (4.1) ayant permis de sécuriser les terminaux iPhone.
Un agent de surveillance particulièrement efficace
L’exploit des vulnérabilités était réalisé depuis deux ans depuis des sites web malveillants sur lesquels se rendaient par semaine plusieurs milliers d’utilisateurs, indique Google. « Il n’y avait pas de discrimination de cible. Il suffisait de visiter le site piraté pour que le serveur d’exploitation attaque votre appareil et, s’il y parvenait, installe un agent de surveillance », explique Ian Beer. Ce dernier s’avère particulièrement efficace et dangereux, et s’est révélé capable de voler des données personnelles issues de différentes messageries (iMessage, Whatsapp, Gmail…), des photos et aussi des localisations GPS temps réel.