Des sites Web malveillants ont été utilisés pendant des années pour pirater secrètement des iPhones, déclare Google

Les chercheurs en sécurité de Google affirment avoir trouvé un certain nombre de sites Web malveillants qui, une fois visités, pourraient pirater discrètement l’iPhone d’une victime en exploitant un ensemble de failles logicielles jusque-là inconnues.

Le projet zéro de Google a déclaré un article de blog en profondeur ont publié tard jeudi que les sites Web étaient visités des milliers de fois par semaine par des victimes sans méfiance, dans le cadre d’une attaque qualifiée d’attaque «aveugle».

«Visiter simplement le site piraté était suffisant pour que le serveur d’exploitation attaque votre appareil et, s’il réussissait, installait un implant de surveillance», a déclaré Ian Beer, chercheur en sécurité chez Project Zero.

Il a déclaré que les sites Web avaient piraté les iPhones sur une "période d’au moins deux ans".

Les chercheurs ont découvert cinq chaînes d’exploits impliquant 12 failles de sécurité distinctes, dont sept impliquant Safari, le navigateur Web intégré sur iPhone. Les cinq chaînes d’attaque distinctes ont permis à un attaquant d’obtenir un accès «principal» à l’appareil – le niveau d’accès et de privilèges le plus élevé sur un iPhone. Ce faisant, un attaquant peut accéder à l’ensemble des fonctionnalités du périphérique normalement inaccessibles à l’utilisateur. Cela signifie qu’un attaquant peut installer discrètement des applications malveillantes peuvent être installées pour espionner un propriétaire d’iPhone à son insu ou sans son consentement.

D’après leur analyse, les vulnérabilités ont été utilisées pour voler les photos et les messages d’un utilisateur et pour suivre leur localisation en temps quasi réel. L’implant peut également accéder à la banque de mots de passe enregistrés stockée sur le périphérique de l’utilisateur.

Les vulnérabilités affectent iOS 10 à la version actuelle du logiciel iOS 12.

Google a révélé les vulnérabilités en privé en février, donnant Pomme seulement une semaine pour corriger les défauts et déployer des mises à jour à ses utilisateurs. C’est une fraction des 90 jours généralement impartis aux développeurs de logiciels, ce qui donne une indication de la gravité des vulnérabilités.

Apple a publié un correctif six jours plus tard avec iOS 12.1.4 pour iPhone 5s et iPad Air et versions ultérieures.

Beer a déclaré que d’autres campagnes de piratage sont actuellement en cours.

Le fabricant d’iPhone et d’iPad a une bonne réputation en matière de sécurité et de confidentialité. Récemment, l’entreprise a augmenté son paiement maximum de primes de bug à 1 million de dollars pour les chercheurs en sécurité qui trouvent des failles qui peuvent cibler un iPhone en silence et obtenir des privilèges de niveau racine sans aucune interaction de l’utilisateur. Selon les nouvelles règles de primes d’Apple, qui devraient entrer en vigueur plus tard cette année, Google aurait été éligible à des primes de plusieurs millions de dollars.

Un porte-parole d’Apple n’a pas immédiatement commenté.

Apple augmente sa prime aux bogues et augmente le paiement maximum à 1 M $

Source

A propos newstrotteur-fr

Découvrez également

Bugatti vante les ambitions vertes tout en prenant d’assaut à toute vitesse

“Seul le moteur W16 procure l’émotion et la passion attendues par nos clients de supercar”, …

Laisser un commentaire

Do NOT follow this link or you will be banned from the site!