Google a divulgué des failles zéro-clic qui ont affecté toutes les plateformes d’Apple (macOS, iOS, iPadOS, watchOS, tvOS).
L’équipe de sécurité Project Zero de Google a partagé ses conclusions sur une série de vulnérabilités zéro-clic qui affectaient l’iPhone et d’autres appareils Apple.
Les vulnérabilités ont été divulguées sur le blog dédié de Project Zero, les conclusions des équipes détaillant ce que cela signifie pour les propriétaires d’iPhone. L’équipe a trouvé un problème dans le framework ImageIO, qui est présent sur tous les systèmes Apple, y compris iOS, macOS, watchOS et même tvOS. Ceci est utilisé pour analyser les fichiers image et les métadonnées d’image.
Lorsque vous recevez un fichier image par texte ou par e-mail, ImageIO gère le processus d’analyse pour déterminer essentiellement ce qu’est le fichier image. Comme ce processus est automatisé et ne nécessite aucune sorte d’interaction avec l’utilisateur, tout code malveillant dissimulé dans l’image signifie que les pirates informatiques adorent exploiter ce type de faille de sécurité.
En utilisant une technique appelée «fuzzing», l’équipe de Google a testé à quel point ImageIO gérait un traitement de format d’image incorrect. Ils ont trouvé six vulnérabilités dans ImageIO et huit autres dans un format d’image tiers OpenEXR.
Les vulnérabilités pourraient être exploitées à l’aide d’applications de messagerie tierces, mais plutôt qu’un problème lié aux applications elles-mêmes et au code source associé, cela venait davantage du système. Cela signifie que le problème doit être résolu par Apple lui-même.
Les analystes de Google ont rapidement signalé les bugs à Apple, qui a vu toutes les vulnérabilités corrigées via plusieurs mises à jour du système d’exploitation. Les problèmes ImageIO ont été corrigés en janvier et avril 2020, tandis que les vulnérabilités d’OpenEXR ont été corrigées avec sa dernière mise à jour 2.41.
« Il est probable que moyennant un effort suffisant, certaines des vulnérabilités découvertes peuvent être exploitées pour une exécution de code à distance dans un scénario d’attaque zéro-clic », écrit l’équipe Project Zero dans un billet de blog.
Cependant, Samuel Groß, un chercheur de l’équipe Project Zero, affirme que même si tous les problèmes détectés par son équipe ont déjà été corrigés par Apple, d’autres vulnérabilités utilisant la même technique sont toujours présentes. Cela signifie que ces vulnérabilités pourraient être exploitées en tant que nouvelles attaques zéro-clic sur les appareils Apple tels que l’iPhone.
Bien qu’aucun système d’exploitation ne soit complètement sécurisé à tout moment, ce problème souligne l’importance de maintenir vos appareils à jour avec les correctifs de sécurité et les mises à jour du système d’exploitation appropriés pour vous assurer que vous êtes toujours entièrement protégé contre ceux qui ont des intentions malveillantes.