mediacongo.net - Actualités - iPhone : une faille zero-day permet d’espionner vos données personnelles 


Retour MC Geek !

iPhone : une faille zero-day permet d’espionner vos données personnelles

iPhone : une faille zero-day permet d’espionner vos données personnelles 2020-05-12
http://www.mediacongo.net/dpics/filesmanager/actualite/2020_actu/05-mai/11-17/iphone_faille_securite_20_021.jpg -

Un bug dans la lecture de fichiers XML permet aux pirates de contourner certaines vérifications de sécurité avant publication sur l’App Store. Et par conséquent de conférer aux applications des privilèges d’accès normalement interdits.

Le hacker suisse Siguza vient de faire quelques heureux parmi les siens. Il a publié les détails techniques d’une faille qu’il a trouvée en 2017 et qui permet de publier très facilement sur l’AppStore une application iOS capable, entre autres, de siphonner les données personnelles d’un terminal.

Une faille qu’il a utilisée de nombreuses fois dans le cadre de ses « projets de recherche » et qui ne lui sera bientôt plus utile, car Apple a découvert le pot aux roses. En effet, la brèche sera colmatée dans la version iOS 13.5 qui sera disponible dans quelques semaines. Mais d’ici là, mieux vaut rester sur ses gardes et ne pas installer n’importe quoi sur son iPhone.

Sur Twitter, cette faille zero-day a soulevé une certaine admiration en raison de son élégante simplicité. Le bug se trouve dans la manière dont les privilèges d’accès des applications iOS sont encodés. Baptisés « entitlements », ces privilèges doivent être déclarés dans un fichier XML du paquet applicatif. Ce fichier est analysé avant publication sur l’AppStore, pour vérifier que l’application n’outrepasse pas les règles de sécurité d’Apple. Par la suite, ce fichier sera analysé par le système iOS sur lequel l’application est installée.

Le problème, c’est que ces différentes phases de lecture n’utilisent pas les mêmes technologies. En utilisant certains caractères dans le fichier XML, il est possible de faire disparaître des privilèges au moment de la première analyse, tout en les préservant pour la seconde. Ce qui permet au final de contourner la vérification de sécurité de l’AppStore.


01NET / MCP via mediacongo.net
382 suivent la conversation
0 commentaire(s)

Faites connaissance avec votre « Code MediaCongo »


Vous avez sans doute remarqué un nouveau code à 7 caractères affiché à droite de votre Nom/Pseudo, par exemple « AB25CDF ».
Il s’agit de Votre Code MediaCongo, unique à chaque utilisateur, et qui permet de faire la différence entre utilisateurs ayant le même Nom ou Pseudo.

Nous avons en effet reçu des réclamations d’utilisateurs se plaignant de confusion dans les commentaires ou dans les « Petites annonces » avec d’autres utilisateurs ayant respectivement les mêmes noms.

Notre seul objectif et engagement est de continuer de vous offrir un service de qualité. N’hésitez pas à écrire à support@mediacongo.net si vous avez des questions ou suggestions.


Merci et excellente expérience sur mediacongo.net

MediaCongo – Support Utilisateurs



right
ARTICLE SUIVANT : Le smartphone, un outil d'aide au dépistage du cancer du col de l'utérus
left
ARTICLE Précédent : Android : 38 applications malveillantes téléchargées plus de 20 millions de fois
AUTOUR DU SUJET

iPhone : le nouvel iPhone SE lancé le 24 avril à partir de 489 euros

MC Geek ! ..,

Attention aux apps « Coronavirus » sur Android et iPhone : entre désinformation et logiciel...

MC Geek ! ..,

iPhone pliable : un brevet confirme qu’Apple y travaille, comme les autres

MC Geek ! ..,

Apple refuse que les méchants au cinéma utilisent ses produits

Monde ..,