Charlie Miller a trouvé une belle faille sur iOS. Il l’a publiée et a prévenu Apple qui, en guise de remerciements, l’a viré de sa communauté de développeurs. La Classe !
De longue date, Charlie Miller travaille sur la sécurité de l’OS des téléphones Apple. Dans ses derniers travaux, il a mis à jour une faille qui permet d’injecter à distance du code, ceci à cause d’une faille dans le moteur JavaScript du navigateur Safari, laquelle permet l’exécution d’un code non signé. Charlie Miller a suspecté l’existence de cette faille à l’occasion de la sortie de la version 4.3 d’iOS dans le courant de l’année 2011. En effet, il a remarqué que dans le but d’améliorer la vitesse du navigateur, Apple autorisait l’exécution de code JavaScript sur un espace mémoire beaucoup plus important que précédemment. Et pour ce faire, Apple avait été obligé de créer une exception pour que le navigateur puisse s’exécuter dans une partie de la mémoire de l’appareil auparavant inaccessible.
Pour prouver ses dires, M. Miller a développé une application, baptisée InstaStock. Cette application d’affichage des cours boursiers a été acceptée par l’Apple Store. Dès lors, et ainsi qu’il l’explique sur la vidéo ci-dessous, l’application peut prendre le contrôle à distance du périphérique sur lequel il est installé et dérober la totalité du contenu. « Avec ce bug, vous ne pouvez plus être assuré que ce que vous téléchargez depuis l’App Store aura un comportement normal », affirme M. Miller, ce qui –effectivement – n’est pas rien. Aussi, on espère fortement que plutôt que supprimer l’accès au compte développeur, Apple va se préoccuper tout aussi rapidement de corriger cette faille.
Rappelons que Charlie Miller n’en est pas à son coup d’essai. Il a à plusieurs reprises découvert des failles dans le système iOS. A chaque fois il a prévenu Apple de ses découvertes. Cette fois n’a pas fait exception à la règle. La réaction du constructeur californien a toutefois été radicale puisque son compte développeurs a été purement et simplement supprimé au motif d’une violation contractuelle interdisant de cacher, dénaturer ou occulter des fonctionnalités, contenus, services dans les applications soumises.
Dans les faits, Apple a parfaitement raison du point de vue juridique car M. Miller a effectivement sciemment omis de décrire toutes les possibilités de son application. Cependant, l’idée était bien de prouver ses dires, ce que l’on appelle une « proof of concept », déterminée à faire réagir Apple. La Pomme a effectivement réagi mais certainement pas de la manière dont on s’y attendait.
En effet, Apple affirme de longue date que le processus de vérification des applications est très sophistiqué ce qui garantit aux utilisateurs une grande sécurité. Jusqu’à aujourd’hui cette affirmation s’est révélée parfaitement exacte et les spécialistes de sécurité indiquent qu’ils n’ont pratiquement trouvé aucun malware sur plate-forme iPhone, contrairement à Android. Mais tout ceci pourrait changer.
[youtube ynTtuwQYNmk nolink]
Source : L’Informaticien
LOL, je n’aide même plus un seul site tellement c’est une perte de temps, aucun merci, le bouton donate même les millionaire (grâce à leur site) ne le voye pas, pourtant on demande rien (si tu demande, il vont dans le leur log et voit ce que ta branler), Donc maintenant soit les BDD elle vont sur pastbin ou elle sont revendu pour certains.
Non sincèrement, c’est quoi ces ignare qui vienne dans notre Far West monter leur service non sécurisé, c’est un danger pour notre communauté, nous Cow-Boy on est la pour remettre de l’odres et du plomb dans la tête de ces colons irrespectueux.Point final,
Source: La quête du saint web.
O_o o_O
(Ha ha! nan c’est des connerie que je pense vraiment sa. xP)
xP
Les commentaires sont fermés.