Faille majeure sur l'App Store
Staff - Branchez-vous.com
Un expert en sécurité a
récemment découvert une faille dans iOS. Cette faille permet d’injecter
du code. La particularité? Apple a validé indirectement cette faille.
Non, Apple n’a pas participé au
piratage de son propre système d’exploitation mobile. En fait, Charlie
Miller, notre expert en sécurité, a créé une application permettant de
suivre les cours de la Bourse. Instastock, c’est le nom de
l’application, a été validée par Apple puis proposée sur l’App Store en
téléchargement.
La faille aurait un lien avec le moteur JavaScript de Safari pour
iOS: Nitro. Il a été possible pour Miller de faire exécuter par son
application du code non vérifié par Apple, ce qui lui a permis d’avoir
accès aux informations du téléphone. Voler les photos, faire sonner le
téléphone ou encore accéder aux contacts a été rendu possible grâce à ce
petit code pernicieux dans l’application validée par Apple.
Comme tout bon chercheur en sécurité, Charlie Miller a signalé la
faille à Apple, qui n’a pas tardé à lui répondre ! La première réponse
fut de retirée l’application de l’App Store quelques heures après le
signalement. La deuxième réponse est un peu plus sévère: «Oh mon Dieu !
Apple m’a chassé du programme iOS Developper. C’est si désagréable !», a
ainsi révélé Charlie Miller sur Twitter. Eh oui, Apple tue le messager!
Quoi qu’il en soit, il présentera la vulnérabilité à ses confrères et
autres experts lors de la conférence SyScan qui se déroulera les 17 et
18 novembre prochains à Taïwan.
Articles récents du même sujet
