Posted in

Des failles de sécurité zero-day majeures dans iOS et OS X permettent le vol des mots de passe du trousseau et des applications


Des chercheurs de L’Université d’Indiana et le Georgia Institute of Technology ont déclaré que des failles de sécurité dans iOS et OS X permettent à une application malveillante de voler des mots de passe du trousseau d’Apple, ainsi que des applications Apple et tierces. Ces allégations semblent avoir été confirmées par Apple, Google et d’autres.

Nous avons complètement craqué le service de trousseau de clés (utilisé pour stocker les mots de passe et autres informations d’identification pour différentes applications Apple) et les conteneurs sandbox sur OS X, et avons également identifié de nouvelles faiblesses dans les mécanismes de communication inter-applications sur OS X et iOS qui peuvent être utilisées pour voler des données confidentielles d’Evernote, Facebook et d’autres applications de premier plan

Le registre L’équipe a signalé les failles à Apple en octobre dernier. À l’époque, Apple avait déclaré qu’elle comprenait la gravité des failles et avait demandé aux chercheurs de lui donner six mois pour les corriger avant que l’exploit ne soit rendu public. En février, Apple a demandé une copie préliminaire de le papierpourtant les défauts restent présents dans les dernières versions des deux systèmes d’exploitation…

Les chercheurs ont pu télécharger des logiciels malveillants exploitant les vulnérabilités sur les App Stores iOS et Mac, malgré les contrôles effectués par Apple. Les applications compromises ont été approuvées pour les deux plateformes.

L’équipe affirme avoir testé l’exploit sur une large gamme d’applications Mac et iOS et avoir découvert que près de 90 % d’entre elles étaient « complètement exposées », permettant au malware d’accéder pleinement aux données stockées dans les applications, y compris les identifiants de connexion.

AgileBits, développeur de l’application populaire 1Password, a déclaré qu’il ne voyait aucun moyen de se protéger contre l’exploit. L’équipe de sécurité Chromium de Google a déclaré qu’elle pensait qu’il serait impossible de se protéger contre l’attaque au niveau de l’application et a réagi en supprimant l’intégration du trousseau pour Chrome.

D’après une vidéo publiée par l’équipe (ci-dessous), un commentateur de Actualités des hackers il semble avoir raison de suggérer que même si le logiciel malveillant ne peut pas accéder directement aux entrées de trousseau existantes, il peut le faire indirectement en forçant les utilisateurs à se connecter manuellement, puis en capturant ces informations d’identification dans une entrée nouvellement créée.

Les éléments du trousseau disposent de listes de contrôle d’accès, dans lesquelles ils peuvent mettre sur liste blanche des applications, généralement uniquement eux-mêmes. Si mon application bancaire crée un élément du trousseau, le logiciel malveillant n’y aura pas accès. Mais le logiciel malveillant peut supprimer et recréer des éléments du trousseau, et ajouter lui-même et l’application bancaire à la liste de contrôle d’accès. La prochaine fois que l’application bancaire aura besoin d’informations d’identification, elle me demandera de les saisir à nouveau, puis de les stocker dans l’élément du trousseau créé par le logiciel malveillant

Pour l’instant, le meilleur conseil serait d’être prudent lors du téléchargement d’applications provenant de développeurs inconnus – même depuis les App Stores iOS et Mac – et d’être attentif à toute occasion où l’on vous demande de vous connecter manuellement alors que cette connexion est généralement effectuée par le trousseau.

Les chercheurs affirment que la gravité des vulnérabilités ne peut être surestimée.

Les conséquences de telles attaques sont dévastatrices, conduisant à la divulgation complète des informations utilisateur les plus sensibles (par exemple, les mots de passe) à une application malveillante, même lorsqu’elle est sandboxée. De telles conclusions (…) ne sont que la pointe de l’iceberg.

Comme toujours, la meilleure pratique consiste à ne jamais autoriser votre navigateur ou un gestionnaire de mots de passe à stocker vos identifiants les plus sensibles, comme ceux des services bancaires en ligne.

(youtube=https://www.youtube.com/watch?v=IYZkAIIzsIo)

Découvrez des vidéos supplémentaires sur Le registre.

Une vulnérabilité distincte du BIOS/EFI Mac révélée plus tôt ce mois-ci permettrait à un attaquant de prendre le contrôle permanent d’un Mac même après avoir reformaté le disque, tandis qu’un bug dans l’application iOS Mail pourrait permettre des attaques de phishing convaincantes.

FTC : Nous utilisons des liens d’affiliation automatiques générant des revenus. Plus.