Un simple message envoyé sur un iPhone peut lancer un malware pour accéder à distance au téléphone. © Brilliant Eye, Fotolia

Tech

Quand Google découvre des failles dans iOS

ActualitéClassé sous :smartphone , iPhone , iPad

Des membres du Project Zero de Google ont découvert six failles dans l'application iMessage d'iOS. Le gros danger, c'est qu'elles permettent à un pirate de prendre le contrôle d'un appareil à distance sans action de l'utilisateur.

Deux membres du Project Zero de Google, une équipe d'experts en sécurité et chasseurs de bugs viennent de dévoiler six failles dans iOS, le système d'exploitation mobile d'Apple, qui peuvent être exploitées via l'application iMessage. Les experts ont également publié une démonstration pour quatre des bugs, et indiquent que les six ne nécessitent aucune interaction de la part de l'utilisateur.

Quatre des failles, nommées CVE-2019-8641, CVE-2019-8647, CVE-2019-8660, et CVE-2019-8662 permettent l'exécution d'un code à distance. Un simple message envoyé à l'iPhone de la victime contenant une suite de caractères spécifiques permet de lancer un code qui donne à l'assaillant un accès à l'appareil, sans la moindre interaction de la part de l'utilisateur.

Une mise à jour déjà disponible

Pour les deux autres failles, CVE-2019-8624 et CVE-2019-8646, l'envoi d'un message spécialement conçu permet de lire le contenu de la mémoire de l'appareil et ainsi de voler des fichiers sur le mobile de la victime. Là encore, aucune interaction n'est nécessaire, puisque l'application iMessage décode une partie de message pour afficher la notification, ce qui suffit à déclencher la faille.

Les experts avaient alerté Apple dès la découverte de chaque faille. La firme a inclus un correctif pour les failles dans la mise à jour d'iOS 12.4 publié le 22 juillet. Il est donc impératif de s'assurer que ses appareils sont à jour. Les chercheurs ont vérifié le fonctionnement du correctif avant de rendre les détails des failles publics. Ils viennent donc de dévoiler cinq des failles, mais pas celle nommée CVE-2019-8641 qui n'est toujours pas résolue.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi