Une faille dans iOS 8 met en danger tous les iPhone et iPad

iOS SSL Cert. Parsing Bug Uncovered by Skycure: Endless Reboot Cycle

Voilà une faille qui risque de faire parler d’elle. À l’occasion d’une conférence sur la sécurité informatique à San Francisco (RSA 2015), les deux experts en sécurité Adi Sharabani et Yai Amit ont dévoilé une faille « zero-day » (c’est-à-dire qui n’a encore jamais été exploitée et pour laquelle il n’existe aucun correctif) dans la dernière version du système d’exploitation d’Apple, iOS 8. Concrètement, elle permet de faire planter le système de manière systématique grâce à un simple réseau WiFi.

La faille réside dans la manière dont iOS gère le SSL. En se connectant à un réseau WiFi malveillant, l’iPhone ou l’iPad récupère un certificat SSL dont les données ont été modifiées afin de faire crasher l’appareil. À chaque redémarrage, l’appareil se reconnecte automatiquement au réseau en question, provoquant à nouveau un plantage avant même que l’utilisateur n’ait le temps de reprendre la main sur les paramètres. La seule solution est alors de sortir de la zone d’émission du réseau WiFi en question.

Cette faille a alors été surnommée « No iOS Zone » par ses découvreurs qui, en outre, assurent qu’elle n’a pas encore été corrigée par Apple. La dernière mise à jour d’iOS, la version 8.3, semble y apporter quelques corrections, sans totalement fermer la porte aux pirates qui souhaiterait l’exploiter. Ils ne comptent d’ailleurs pas s’arrêter là, leur nouvel objectif étant de réussir à faire crasher les iPhone et iPad par le biais des requêtes HTTP. Cela permettrait de rendre hors service les appareils depuis n’importe où, et pas seulement dans une zone de couverture WiFi. 

Lire : iOS 8 : ces SMS qui redémarrent l'iPhone

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire