D’après la firme de Cupertino, il n’y a « aucune preuve » que les vulnérabilités de l’app iPhone Mail ont été exploitées.
Récemment, nous avons appris que l’application de messagerie par défaut sur iOS présente deux vulnérabilités graves qui existent depuis huit ans et celles-ci permettent à quelqu’un d’avoir plus de contrôle sur votre iPhone ou iPad. Le groupe de recherche sur la sécurité qui les a trouvés a noté qu’il y avait suffisamment de preuves pour croire que des pirates les exploitaient depuis au moins deux ans.
Apple a publiquement reconnu l’existence des deux brèches, mais essaie maintenant de minimiser leur impact. La société est fortement en désaccord avec l’évaluation selon laquelle il existe des preuves que des pirates informatiques l’utilisent contre ses clients, et a noté que le chaînage des deux vulnérabilités ne suffit pas pour contourner les protections de sécurité sur iPhone et iPad.
Le géant de Cupertino a déclaré à Bloomberg qu’après avoir analysé le rapport ZecOps, il avait effectué une enquête sur l’exploit de preuve de concept, qui, selon eux, ne suffit pas à compromettre complètement un terminal de la marque. La société corrige toujours les vulnérabilités de la mise à jour iOS 13.4.5, ce qui suggère qu’il est au moins urgent de résoudre le problème.
Les failles elles-mêmes peuvent ne pas être suffisantes pour obtenir un accès complet à l’iPhone ou à l’iPad de quelqu’un, mais cela ne dit rien de la possibilité que des pirates informatiques puissent les intégrer à des attaques plus complexes. Considérez que les vulnérabilités sont présentes dans chaque version iOS depuis iOS 6. ZecOps a expliqué qu’il est possible de les utiliser en conjonction avec un bug de fuite d’informations ainsi qu’un bug du noyau pour obtenir un contrôle total sur le périphérique cible.
Nous avons déjà vu ce genre de réaction d’Apple quand ils ont accusé le Project Zero de Google de créer des craintes non fondées sur une autre vulnérabilité de l’iPhone. Cette fois, le fabricant d’iPhone a été moins conflictuel tout en minimisant son impact dans des scénarios réels.
Ironiquement, Jann Horn, qui est un chercheur de Google Project Zero, a été l’un des nombreux chercheurs en sécurité à remettre en question les résultats du rapport ZecOps. Si vous traitez des informations sensibles, il peut être plus sûr d’éviter d’utiliser Mail jusqu’à la mise à jour vers iOS 13.4.5.