Des universitaires ont révélé l’existence de multiples vulnérabilités critiques touchant Mac OS X et iOS, permettant de contourner la sécurité de l’application keychain, des sandbox des programmes ou encore les mesures de sécurité sur l’App Store. Les mots de passe sont aussi vulnérables. Apple a été prévenu il y a plus de six mois, mais rien n’a été fait pour patcher…
Apple ne fait visiblement pas attention à la sécurité de ses utilisateurs, preuve étant, cette nouvelle révélation qui a de quoi inquiéter. Des universitaires provenant de plusieurs établissements aux États-Unis et en Chine ont publié ces jours-ci les résultats (PDF) de leurs recherches sur la sécurité au sein de Mac OS X et iOS. Leurs conclusions révèlent l’existence de vulnérabilités préoccupantes dans les deux deux systèmes d’exploitation conçus par la firme de Cupertino. Interrogés par The Register, les auteurs expliquent qu’ils avaient connaissance de ces brèches depuis plus de six mois mais qu’ils ont tenu à respecter la procédure de divulgation responsable mise en place par Apple. Celle-ci demande aux chercheurs en sécurité informatique de laisser une période de six mois aux équipes du groupe américain pour résoudre les failles qui lui sont signalées.
Bien entendu, une fois ce délai passé, la publication des détails de leurs travaux n’est alors plus censée poser problème puisque les faiblesses détectées dans iOS et Mac OS X sont en théorie corrigées. Or, il s’avère que celles-ci sont toujours présentes dans les logiciels du groupe américain. Par conséquent, avec la diffusion de l’article scientifique, il y a maintenant un risque qu’elles soient exploitées de façon malveillante.
Apple a été alerté en octobre 2014 et a alors demandé un délai pour réfléchir à une solution. En outre, les universitaires font remarquer que des précisions leur ont été demandées en février dernier, signe d’une reconnaissance implicite par la société de la gravité des découvertes réalisées par les chercheurs. Mais toujours pas de patch à ce jour…
Ces brèches permettent aussi d’obtenir des accès à des données sensibles figurant dans d’autres applications, comme les mots de passe enregistrés dans Google Chrome ou encore les mots de passe et les jetons d’authentification pour iCloud et Mail. En tout, 88,6 % des applications testées (1612 sur Mac et 200 sur iOS) sont vulnérables à différents degrés, comme Facebook, WeChat ou Evernote.
Ces failles, nommée Cross App Ressources attacks (Ou XARA) par les chercheurs, exploitent des vulnérabilités présentes dans la façon dont les applications partagent et accèdent aux ressources utilisées par d’autres applications. Des sandbox sont censées isoler les ressources d’une application du reste des applications présentes sur la machine, mais les résultats obtenus par ces chercheurs montrent que ces mesures de sécurité sont contournables.
Source : Numerama