Deux membres de Project Zero, l’équipe de recherche de bogues d’élite de Google, ont publié des détails et une démonstration du code de preuve de concept pour cinq des six bogues de sécurité „sans interaction“ qui affectent le système d’exploitation iOS et peuvent être exploités via le client iMessage.
Les six failles de sécurité ont été corrigées la semaine dernière, le 22 juillet, avec la version iOS 12.4 d’Apple .
Selon Natalie Silvanovich, l’une des deux chercheurs de Google Project Zero qui a découvert et signalé le bogue, les détails concernant l’une des vulnérabilités „sans interaction“ sont restés confidentiels, car le correctif iOS 12.4 d’Apple ne résolvait pas complètement le bogue.
QUATRE BOGUES CONDUISENT À DES RCE SANS INTERACTION UTILISATEUR
Selon le chercheur, quatre des six problèmes de sécurité peuvent conduire à l’exécution de code malveillant sur un périphérique iOS distant, sans intervention de l’utilisateur. Tout ce qu’un attaquant doit faire est d’envoyer un message mal formé au téléphone de la victime. Le code malveillant s’exécutera une fois que l’utilisateur aura ouvert et visualisé l’élément reçu.
Les quatre bogues sont CVE-2019-8641 (détails gardés confidentiels), CVE-2019-8647 , CVE-2019-8660 et CVE-2019-8662 . Les rapports de bogues liés contiennent des détails techniques sur chaque bogue, mais également un code de validation qui peut être utilisé pour créer des exploits.
Les cinquième et sixième bogues, CVE-2019-8624 et CVE-2019-8646 , peuvent permettre à un attaquant de fuir des données de la mémoire d’un périphérique et de lire les fichiers d’un périphérique distant – également sans interaction de l’utilisateur.
Même s’il est toujours judicieux d’installer les mises à jour de sécurité dès qu’elles sont disponibles, la disponibilité du code de preuve de concept signifie que les utilisateurs doivent installer la version iOS 12.4 sans plus tarder.
Les bugs ont été découverts par Silvanovich et son collègue Samuel Groß, chercheur en sécurité de Google Project Zero.
Silvanovich tiendra une présentation sur les vulnérabilités des iPhone à distance et sans interaction à la conférence sur la sécurité Black Hat qui se tiendra à Las Vegas la semaine prochaine.
„Des rumeurs selon lesquelles des vulnérabilités à distance ne nécessitant aucune interaction de la part d’un utilisateur seraient utilisées pour attaquer l’iPhone sont disponibles, mais peu d’informations sont disponibles sur les aspects techniques de ces attaques sur des appareils modernes“, lit-on dans un résumé de l’exposé de Silvanovich .
„Cette présentation explore la surface d’attaque distante et sans interaction d’iOS. Elle décrit les vulnérabilités potentielles de SMS, MMS, Messagerie vocale visuelle, iMessage et Mail et explique comment configurer des outils pour tester ces composants. Il inclut également deux exemples des vulnérabilités découvertes en utilisant ces méthodes „.
Le discours de Silvanovich devrait attirer beaucoup d’attention la semaine prochaine. Jusqu’à aujourd’hui, on trouvait généralement des bogues iOS qui n’interagissaient pas avec l’utilisateur dans l’arsenal des vendeurs d’exploit et des fabricants d’outils d’interception légale et de logiciels de surveillance. Ces vulnérabilités constituent le saint graal de tout attaquant, leur permettant de pirater les périphériques des victimes sans être détectées.
Ces vulnérabilités, lorsqu’elles sont vendues sur le marché noir, peuvent rapporter plus d’un million de dollars aux chasseurs de bogues, selon un tableau de prix publié par Zerodium . Il ne serait pas exagéré de dire que Silvanovich vient de publier des détails sur des exploitations d’une valeur supérieure à 5 millions de dollars, et d’une valeur très probable d’environ 10 millions de dollars.