Une faille de sécurité pour iOS
Charlie Miller, spécialiste en sécurité bien connu sur Mac, a identifié une vulnérabilité qui frappe cette fois iOS. Un gros bogue permet en effet à un hacker sans scrupules de développer des applications qui semblent sans danger, mais qui en sous-main et en toute discrétion se connectent à un ordinateur distant afin d’avoir accès aux données d’un iBidule.
Miller en a fait la démonstration, à travers une application, Instastock, qui sous ses atours banals de logiciel boursier, lui permet de lire les photos de l’iPhone infecté, ses contacts et e-mails, et même de faire vibrer l’appareil ou le faire sonner ! Le pire, c’est que cette app a été validée par Apple sans que cela pose plus de problèmes; c’est là que la faille frappe : une fois installé, le logiciel va «appeler» le serveur distant et télécharger les commandes du hacker.
Le bât blesse avec l’exécution du Javascript post-iOS 4.3 : pour des raisons de performance de Safari Mobile, Apple autorise ce type de code à s’exécuter à des niveaux plus profonds dans la mémoire du système. Le navigateur peut alors exécuter du code non-approuvé…
Le spécialiste en sécurité a bien évidemment prévenu Apple de cette faille. Nul doute que Cupertino proposera rapidement un correctif.
Mise à jour – À peine l’information commençait-elle à faire le tour d’internet, qu’Apple a décidé manu militari d’exclure Charlie Miller de son programme Developer, ainsi que de l’AppStore ! Passe encore que son logiciel de démonstration, Instastock, ait été supprimée de la boutique d’apps, mais retirer son accès au compte Developer à un expert comme Miller est un peu excessif.
