Voici une autre raison de passer à iOS 9 (quand on le peut). La nouvelle version du système d’exploitation mobile bouche en effet une vulnérabilité liée à AirDrop. Cette faille a été révélée par Mark Dowd, chercheur en sécurité informatique pour le compte d’Azimuth Security, qui a posté une vidéo de démonstration du problème sur un iPhone fonctionnant sous iOS 8.4.1.
Après avoir activé AirDrop pour « tout le monde » dans le Centre de contrôle, le carambouilleur propose un fichier d’innocente apparence, mais qui embarque avec lui un vilain passager clandestin, à savoir un malware. La victime n’a même pas besoin d’accepter le document : après le redémarrage de l’iPhone, le logiciel malveillant va exploiter une faille connectée aux certificats d’entreprises.
Ce n’est pas une première : ces fameux certificats utilisés habituellement pour déployer des applications hors App Store sur des flottes d’iPhone, sont de véritables passoires. En Chine, elles permettent à des boutiques alternatives de distribuer des apps piratées sans jailbreak (lire : Les mystères du jailbreak en Chine).
Dans la démo de Dowd, une fois le malware douillettement installé dans l’iPhone, celui-ci remplace l’application Téléphone par une autre qui affiche la phrase « Hello world ». Sympathique, mais pas très pratique pour passer un coup de fil.
iOS 9 bouche en partie la faille, en renforçant le bac à sable dans lequel s’ébat AirDrop. Le chercheur, qui n’a pas publiquement livré tous les détails, explique que la vulnérabilité n’est pas complètement supprimée ; il faudra aussi mettre à jour son Mac avec OS X El Capitan quand la version finale sera disponible le 30 septembre. On peut aussi tout simplement désactiver AirDrop en attendant qu’Apple corrige définitivement le problème.
