Mac OS X et iOS, totalement vulnérables au vol de données et de mots de passe

Gratuit
Recevez toutes nos informations et actualités par Email.
Entrez votre adresse email :

Identifiants iCloud, codes bancaires, mots de passe de 1Password, photos de WeChat… un groupe de chercheurs a révélé une série de failles 0day permettant de capter beaucoup, beaucoup de données sensibles. Plus de 88 % des applications sont vulnérables. Aucun correctif en vue pour l’instant.

C’est un énorme pavé que viennent de jeter dans la mare un groupe de six chercheurs, en liaison avec cinq facultés (Indiana University Bloomington, Georgia Institute of Technoloy, Peking University, Tsinghua University, Chinese Academy of Science).  Ils ont voulu savoir si l’étanchéité légendaire des applications iOS et Mac OS X, un principe informatique censée éviter les fuites de données, était réelle ou non. Réponse : elle ne l’est pas du tout, et pour preuve ils viennent de révéler toute une série de failles critiques qui risquent de faire le bonheur des pirates pour un petit moment.
Dans leur étude, les chercheurs montrent qu’il est possible de créer sur Mac OS X ou iOS des applications malveillantes capables de pénétrer la base « keychain » qui référence les données d’authentification de toutes les applications installées sur le système. C’est ainsi qu’ils ont réussi à mettre la main sur les identifiants iCloud, Google, Facebook, Twitter, ainsi que n’importe quels identifiants stockés par Chrome.

Interception de données à la volée

Les chercheurs ont également développé une application capable de rentrer dans le « bac à sable » d’une application, c’est-à-dire l’espace dans laquelle elle stocke ses données et qui devrait être  totalement inaccessible. Bilan : ils ont réussi à siphonner, entre autres, les données de WeChat (photos, messages), d’Evernote (notes, documents) et de MoneyControl (bilans financiers).
Enfin, nos hackers universitaires ont révélé des failles liées aux mécanismes de communication entre applications, tels qu’IPC (Inter Process Communication) ou URL Scheme. Elles permettent d’intercepter des données échangées à la volée sans que l’utilisateur ne puisse s’en rendre compte, façon « man in the middle ».  Ainsi, les chercheurs ont réussi à intercepter tous les mots de passe collectés par le gestionnaire de mots de passe 1Password, au travers de son extension pour navigateur. Ou encore les tokens d’authentification que Facebook attribue aux services tiers au travers de Facebook Connect.
Toutes ces attaques sont liées au fait que certains contrôles d’accès aux ressources applicatives ne sont pas ou mal effectués. C’est pourquoi les chercheurs ont appelé ces attaques « Cross-App Ressource Access » ou « XARA ».  Ils ont testé la vulnérabilité de 1.612 applications Mac et 200 applications iOS, au travers d’un scanner qu’ils ont développé eux-mêmes. Le résultat est plutôt inquiétant : 88,6 % des logiciels sont vulnérables.
Résumé des attaques

Résumé des attaques
agrandir la photo

Ils ont contourné les contrôles draconiens de l’App Store et du Mac App Store

Pas grave, me direz-vous, toutes ces attaques nécessitent l’installation d’une application malveillante sur le système. Or, vous ne téléchargez vos applications que depuis le Mac App Store ou l’App Store, réputés pour leurs contrôles de sécurité draconiens. Grave erreur ! Les chercheurs ont réussi à placer toutes leurs applications malveillantes sur les boutiques d’Apple. Ce qui est déjà en soi un exploit.
De son côté, la firme californienne semble bien embêtée. Les chercheurs ont notifié leurs failles à Apple en octobre dernier, mais aucun correctif sérieux n’a été publié pour l’instant. Il faut dire que les failles sont liées à des mécanismes de base des systèmes Mac OS X et iOS. Ce ne sont pas des simples erreurs de code, mais des erreurs de design. Les corriger n’est donc pas simple, car il faut repenser le fonctionnement du système et apprendre aux développeurs tiers comment intégrer de nouveaux garde-fous dans leurs applis. Un vaste chantier.
Source:
the Register
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »