ZipperDown : une faiblesse dans iOS touche des dizaines de millions d'iPhone
Les jailbreakers émérites de l'équipe Pangu ont découvert une faiblesse de sécurité qui peut toucher des dizaines de millions d'iPhone. Cette « vulnérabilité » a été baptisée ZipperDown est une erreur de programmation commune selon les fins limiers. Mise entre les mains de malandrins, elle leur permettrait d'écraser les données des apps infectées ou encore d'exécuter du code malveillant.
À l'heure actuelle, Pangu a repéré 15 978 applications souffrant de ZipperDown ; elles ont atteint les 100 millions de téléchargements, ce qui laisse imaginer l'ampleur de l'infection. Et cela ne s'arrête pas aux portes d'iOS : la vulnérabilité est aussi présente dans un nombre encore inconnu d'apps Android. Ci-dessous, on verra une démonstration en vidéo de l'exploitation de ZipperDown dans l'app Weibo :
Néanmoins, pas de panique. Les dégâts que pourraient provoquer ZipperDown se limitent au bac à sable mis en place dans iOS et Android. Apple et Google restreignent de fait les données qui peuvent être exploitées par des applications tierces. De plus, le malfrat doit avoir un accès à l'infrastructure du fournisseur d'accès ou être physiquement présent sur le même réseau Wi-Fi que sa victime.
Will Strafach, grand spécialiste des arcanes sécuritaires d'iOS, a pu jeter un œil en profondeur sur cette vulnérabilité ; il confirme qu'il ne s'agit pas réellement d'une faille, mais d'un moyen « inattendu » d'accéder aux informations d'une application. Pangu garde sous le coude les détails de cette faiblesse pour éviter son exploitation frauduleuse, mais indique qu'il suffit d'une simple mise à jour des applications pour corriger la vulnérabilité.
Ouais... maintenant, faut pas non plus avoir peur de son ombre.
Ces malandrins et ces malfrats sont vraiment des malotrus ! 😎
@tbr
J’ajouterais malappris et malintentionnés
C’est quand même supra limité. Toutefois ça doit être corrigé.
Voilà pourquoi je ne bidouille pas mon iPhone.
@victoireviclaux
Je pense que tu as mal lu l’article, on ne parle pas d’appareils jailbreaké
« Les dégâts que pourraient provoquer ZipperDown se limitent au bac à sable mis en place dans iOS et Android»
Pas certain du tout. L'equipe evoque une limitation des risques mais n'affirment pas que l'exploitation de la faille reste contenue par le "bac a sable" autrement dit n'affecte que l'espace d'ececution de l'application.
Les detais ne sont pas encore connus mais la façon dont est evoqué la faille, implique qu'elle est tres commune et ne repose pas uniquement sur une erreur de programmation, mais que cette erreur pourrait etre lié aux API...
La ou il faut se poser les bonnes questions c'est par rapport a l'activité de Pangu. Ils sont quand meme specialistes du jailbreak et le fait de publier une faille peut signifier 2 choses: soit elle est inexploitable pour le jailbreak, soit elle est trop dangereuse pour etre passer sous silence...
...soit elle est inexploitable pour le jailbreak, soit elle est trop dangereuse pour être passée sous silence...
Bon résumé
@lome_bbrr
Merci.