Des iPhone ont pu être piratés pendant des années, démontre Google
Pendant quelques années, des sites web ont distribué aux iPhone qui les visitaient un malware capable de subtiliser nombre d'informations personnelles : photos, géolocalisation en temps réel, contenu des messageries, liste des contacts, identifiants de services web, expliquent des chercheurs de l'équipe Project Zero de Google.
Au fil de plusieurs billets, tous extrêmement fouillés et techniques, ils révèlent que ce malware et ces sites ont opéré depuis au moins 2016. « Il n'y a pas de sélection dans les cibles », écrit Ian Beer « Il suffit de visiter le site piraté pour que le serveur attaque votre appareil et, s’il y parvient, qu'il installe un logiciel de surveillance. Nous estimons que ces sites reçoivent des milliers de visiteurs par semaine ».
L'équipe de Google a pu isoler 5 méthodes d'exploitation de failles dans iOS 10, 11 et 12. Ce qui dénote chez les auteurs de ces agissements une certaine ténacité. À chaque grande révision d'iOS ou lors de mises à jour de sécurité, ils changeaient de méthode pour coller à ces évolutions.
Ces 5 approches ont pu s'appuyer sur un total de 14 vulnérabilités : 7 liées à Safari qui sert de porte d'entrée pour l'attaquant, 5 au noyau du système et deux qui contournaient le sandboxing, ce principe de cloisonnage pour les applications et le système. Au moins l'une de ces failles est restée inconnue jusqu'au 1er février 2019. Après son signalement par Google, elle a été corrigée par Apple et une mise à jour 12.1.4 déployée six jours plus tard.
Dans un dernier billet, Ian Beer montre ce que peut récupérer ce malware, après avoir recréé les conditions de son fonctionnement et l'avoir installé sur son iPhone.
Le serveur attaché à ce logiciel va recevoir les dossiers de données de WhatsApp, Messages, Hangouts, Skype, Viber, Telegram — des messageries sécurisées lors des échanges mais une fois que les messages sont stockées sur l'iPhone leur obtention n'est plus aussi compliquée — ; celles aussi d'Outlook et de Facebook ; les adresses dans Contacts, la position en temps réel de l'utilisateur, ses photos ou encore les tokens stockés dans le Trousseau d'accès qui permettent à des apps, comme celles de Google, d'accéder à votre compte utilisateur.
Ce malware a un défaut, il devient inopérant sitôt l'iPhone redémarré. Mais au vu de ses capacités de moisson, il est capable de donner à ses concepteurs suffisamment d'informations pour qu'ils accèdent, avec les identifiants de leurs victimes, à différents services. Et puis comme le souligne le chercheur, la simple possibilité de suivre en temps réel les déplacements de personnes est précieuse, surtout si le malware est distribué auprès de populations de certaines zones géographiques.
Quant aux défauts logiciels dans iOS et Safari qui ont rendu possible la création de ces attaques, Beer cite le cas de code ajouté par Apple pour une nouvelle fonction buguée et qui de toute évidence n'avait pas été testée (elle faisait planter l'iPhone illico) et, plus généralement, du code qui a échappé à l'attention des contrôles de qualité ou n'a été que modérément évalué.
![Des apps iOS plantent à cause du SDK Facebook [MAJ : problème corrigé]](https://cdn.mgig.fr/2020/07/mg-0c104952-434f-4a1b-b58b_accroche.jpg)
Impossible pour l instant de savoir quels sites étaient infectés. Ça sent le piratage sponsorisé par un État....
@mightysmurf
Ah bin oui, forcément 😂
Encore ces saletés de reptiliens franc macons qui créent des sites d'attaque, tu as raison!
Ça peut bien faire peur tout ça !
On parle d’iPhone non jailbreaker ou tout iPhone confondus ?
Tous confondus, un iphone jailbreaké est tellement hors sécurité qu'ils ne prennent pas le temps d'investiguer. Un faille est intéressante et a de la valeur sur un appareil sans les droits SU
@Godverdomme
D’accord 👍
@Godverdomme
D’accord 👍
@alexis83
Y’a rien d’anormal pourtant...
😂 décidément, il ne reste plus grand chose de l’argument sécurité et vie privée répété ad nauseam par Tim Crook, sa bande et ses fanboys. On se rend compte que ces derniers ont été de gros dindons bien gras, toutes ces années.
@MachuPicchu
« Tim Crook »? Comme Crooked Hilary ? On a un minion de Trump ici ?
C'est Tim Apple!
@Oliviou
Vu la hauteur de la réflexion, la question ne se pose même pas...
@MachuPicchu
Quand Timmy nous explique tout ça il faut lire le petit astérisque : pas de sites pornos et pas de sites de cracks — c’est vilain !
@MachuPicchu
Houlala une faille de sécurité dis donc. Mais qu’est-ce qu’on va faire ?
Sinon à part ça, ça t’arrive de relativiser et te dire qu’une faille de sécurité c’est tout sauf anormal ? Parce que c’est des humains qui développent les logiciels, et oui, ils font des erreurs. Mais visiblement tu es parfait. Va donc poser ton CV chez Apple et développer iOS. On verra bien.
Sinon à part ça, ça t’arrive de relativiser et te dire qu’une faille de sécurité c’est tout sauf anormal ?
Ce n'est pas le discours marketing d'Apple, et c'est bien ça le problème. Faut-il rappeler qu'il est interdit de faire un antivirus pour iOS ?
@bibi81
Un antivirus sert à protéger la connerie des utilisateurs. Il ne corrige pas les failles en fait 😅
De plus, la faille n’était pas connue dans ce cas. Donc antivirus ou pas, il aurait rien protégé du tout...
@quentinf33
Un antivirus ne protège pas contre les failles certes, mais contre les virus. Et un virus peut exploiter une faille inconnue (pour par exemple s’installer/se lancer sur la machine) et se faire repérer quand même (par son comportement par exemple, un truc qui parcourt tout le disque dur en lisant et réécrivant les fichiers pourrait bien être un rançongiciel....).
@MachuPicchu
Tu sais que tu es super drôle ;- en fait non en fait juste un hater
Que Google montre qu’il y a des failles potentiellement exploitées dans iOS est une chose.
Qu’ils se permettent de donner des leçons de sécurité alors que leur système est un gruyère est un peu gonflé.
Qu'est ce que c'est que ce commentaire totalement biaisé du gars qui ne sait visiblement pas de quoi on parle...
Dans le monde de la sécurité, il n'est pas question de "donner des lecons de securité", on n'est pas dans le bac à sable en train de jouer avec sa pelle en plastique.
On a des gars dont le métier est la sécurité qui documentent, testent et investissent des centaines d'heures (et à ce salaire là, on est pas à quelques centaines d'euros) de moyens mis en oeuvre pour arriver à faire un rapport complet et objectif (un mot que tu ne connais pas) à la société, et en plus ils montrent comment corriger.
Ce qui a été fait est un travail de titan, et est très loin du beauf avec son beau téléphone pommé qui déclare "kikou, il est trop méchant Google, il attaque ma société préférée et eux, c'est des vilains pas sécurisés du tout"
Je t'invite à regarder le nombre de failles dans l'OS qui est similaire sur iOS et Android, le fait qu'un utilisateur installe un démineur qui demande accès aux contacts sur Android n'a rien à voir avec la sécurité....
Il faut grandir, tu sais...
@Godverdomme
C’est bien ce que je dis. Le fait que Google trouve des failles chez Apple est une bonne chose.
Mais je ne crois pas qu’ils aient trouvé la recette miracle en matière de sécurité.
Personne n'a dit le contraire...
Par contre cet article n'a rien de négatif, comme tu le laisses entendre.
Faire ces allusions non objectives sur la sécurité gruyère est une autre chose aussi...
Oui enfin qu'Android ne soit pas parfait, j'en convient, mais là, cette faille est juste monstrueuse.
Il suffit de se connecter sur un site, et le gars peut arriver a pomper les mots de passe, les conversations et la position peut un temps indéfini... Franchement, c'est carrément chaud.
Ce qui est assez flippant, c'est aussi l'exploitation de 14 failles cumulés (!) qui a permis cet exploit pendant 2 ans. C'est une prouesse technique assez considérable, exigeant un niveau technique pas à la portée du premier venu.
Moralité: les GAFA n'arrivent pas à protéger leurs utilisateurs face a des groupes bien plus puissants qu'eux. Vous ne devriez pas faire confiance a votre téléphone.
@Godverdomme
Oh le joli grand papa donneur de leçons
J'écoute ton argumentaire, et ce qui n'est pas vrai dans mon post.
Sonnerie de leçons, pourquoi pas, mais soit..
@Godverdomme
👍👍👍
@Godverdomme
Merci 🙏 j’allais écrire la même réponse 😂
"je t'invite à regarder le nombre de failles dans l'OS qui est similaire sur iOS et Android"
Le problème d'Android n'est pas dans le nombre de failles mais dans l'absence de mises à jour au-delà d'une durée très limitée. Problème réglé avec Android One d'ailleurs, qui ne semble malheureusement pas vraiment recevoir ni les faveurs ni les attentions de Google et des fabricants. Les failles dont il est question ici, pour hallucinantes qu'elles soient - et vraiment j'espère bien que des gens vont se faire virer et que la révolution sur le sujet qui semble prendre forme chez Apple arrive à un terme satisfaisant… - sont probablement déjà bouchée dans plus de 90% des appareils (iOS 12 à 88% du parc en mars '19). Rien de pareil sur Android, et c'est ça le problème central.
Rien de pareil sur Android, et c'est ça le problème central.
Tu t'emballes un peu là... Pour les failles évoquées ici, il faut passer par Safari, bref par le rendu HTML de l'OS. Or sur Android le rendu HTML par défaut (bah oui, on peut en mettre d'autres sur Android...) est mis à jour comme n'importe quelle application via le playstore (et donc pour toutes les versions d'Android contrairement à iOS où seules les dernières versions sont mises à jour...).
Merci Bibi pour cette objectivité.
2 approches diamétralement opposés, avec chacun leurs avantages et inconvénients, mais faire comme yazombie et essayer de croire que tout est blanc d'un côté et noir de l'autre, c'est juste... Comment dire...
...
..
Non, je ne vais rien dire de plus...
@ bibi81: je ne parlais de cette faille, je parlais des mises à jour du système. Je ne sais, c'est juste la phrase d'avant, mais bon 🤷♂️️
Quant à l'autre abruti qui prétend que c'est moi qui fais passer tout pour tout blanc ou tout noir alors que je signale systématiquement toutes les limites de ma position, qu'attendre d'un imbécile sinon des imbécillités… Surtout quand il est infoutu de donner la moindre source pour soutenir ses propos. Jamais. Il faut le croire sur parole. Parce qu'il est Dieu incarné ou une connerie comme ça.
Minable.
@ bibi81: je ne parlais de cette faille, je parlais des mises à jour du système. Je ne sais, c'est juste la phrase d'avant, mais bon 🤷♂️️
Bah le moteur de rendu HTML fait parti du système. D'ailleurs c'est souvent le moteur de rendu HTML qui est une porte d'entrée pour les hackers.
@ bibi81: là tu le fais exprès… je parle donc évidemment des mises à jour en-dehors de celles faites au travers de Google Play Services. Si pour toi ce n'est pas important, pour moi ça l'est. Suffisamment pour que je n'écarte pas Android mais considère désormais un appareil avec Android One, maintenant que j'en ai découvert l'existence, qu'aucun des fanboys (je ne parle pas de toi) n'aura eu la présence d'esprit de me signaler… Ce n'est pas comme si je n'avais pas signalé à répétition que c'est le problème essentiel souligné par les experts en sécurité…
Et certains m'accusent d'avoir une position extrême. Quand même, faut vraiment être un abruti.
Tu sembles confondre plein de concepts....
Les mises a jour de l'OS sont très différentes des patchs de sécurité, comme par exemple le S7, qui est une merde niveau mise a jour de l'OS mais qui vient de recevoir les derniers patch de sécurité.
Je t'invite donc a revenir en ayant une approche un peu plus objective
@ l'abruti: je t'invite à donner des sources pour soutenir ta position qui réussit à être à la fois sans la moindre nuance et sans le moindre contour. Pour une fois ça changera, on aura autre chose que ta parole pour soutenir ta propre parole.
Ta puérilité est sans limite.
@ l'abruti:
Tiens, je te jette ça. J'imagine que tu vas arriver à nous dire que phonandroid.com est biaisé, probablement même pro-Apple. Ça ose tout c'est bien connu et dieu sait si tu es en plein dans la cible.
Ça date de 2016, je n'ai rien trouvé de plus récent. Puisque tu invites "à regarder le nombre de failles dans l'OS qui est similaire sur iOS et Android", je suis sûr que tu vas nous fournir une source plus récente et certainement même plus crédible.
M'enfin, comme tu n'as jamais été foutu de soutenir tes paroles avec autre chose que tes paroles, il est inutile d'attendre autre chose que d'autres paroles mensongères, vides et sans intérêt.
https://www.phonandroid.com/android-os-plus-vulnerable-2016-3-plus-faill...
ah ça y est en 2 post tu perds déja ton sang froid et insulte Godverdomme...
Dommage que tu sois incapable de comprendre ce qu'il te dis parce qu'il a raison en plus !
Mon pauvre, ça doit être dur le retour à la réalité...
Ce qui est triste, c'est son approche, tellement caricaturale, il tape ce qu'il veux dans Google, et balance direct le premier lien sans comprendre... Sans même regarder qu'il date de 2016, et sans regarder la situation actuellement, qui est totalement différente. La base quoi... Pourtant le site qui regroupe les cve est utilisable, c'est cela qui est génial.
Si tu tapes l'inverse, Android more secure iPhone, tu te retrouves avec la même fournée d'articles.
En 2019, tout jugement est mort, tu balances un lien et tu fais le king... Points en plus si tu traites l'autre d'abruti, puéril, minable...
"Ce qui est triste, c'est son approche, tellement caricaturale"
Venant de celui qui voit la moindre critique d'Android, même légère et nuancée, et de plus soutenue par de nombreuses sources, comme étant strictement équivalente à dire qu'Android est une passoire, ce n'est pas de la caricature que tu fais, c'est du gribouillage.
"il tape ce qu'il veut dans Google, et balance direct le premier lien sans comprendre"
Je comprends suffisamment pour au moins taper dans Google.
"sans même regarder qu'il date de 2016"
Je l'ai dit moi-même. Mais c'est vrai qu'on ne va tout de même pas te demander d'être honnête.
"et sans regarder la situation actuellement, qui est totalement différente"
Je t'ai demandé de nous fournir des sources, puisque tu les as, puisque tu affirmes que la situation est différente aujourd'hui. Je ne demande qu'à être convaincu, mais contrairement à toi ta parole ne me suffit pas.
Comme d'habitude tu reviens bredouille.
"Pourtant le site qui regroupe les cve est utilisable, c'est cela qui est génial"
Et pourtant tu n'as jamais été fichu de fournir quoi que ce soit. Conclusion: même avec le site qui regroupe les CVE tu es incapable de fournir autre chose que ta parole.
J'ai regardé, justement, et pour iOS il n'y avait qu'une faille recensée. Tu vois, comme contrairement à toi je suis honnête, ça m'a semblé tellement ridicule que je ne l'ai pas cité. Je ne dois pas être doué, je suis sûr que tu vas nous mener vers les bonnes pages avec un lien direct.
Ou plutôt pas.
"Si tu tapes l'inverse, Android more secure iPhone, tu te retrouves avec la même fournée d'articles"
La même fournée d'articles disant la même chose quelle que soit la recherche… 🤔️ La cohérence te semble donc suspecte. Logique.
Si tu te mets à soutenir "ma" position tu ne vas plus t'y retrouver.
En 2019, tout jugement est mort, tu n'es personne mais tu balances ta seule parole et tu fais le king…
Abruti, oui.
@ Dimemas: ce n'est pas sans raison ni historique. L'abruti en question prétend avoir la Vérité sans jamais être foutu de fournir la moindre info qui ne soit sa Sainte Parole.
L'abruti en question transforme la moindre critique d'Android en une Guerre Sainte totalement hors de proportion vis-à-vis de la position de ceux qu'il a estimé incarnation du Mal: tout critique d'Android.
L'abruti en question balaye toute source, pourtant toutes cohérentes entre elles, et d'entreprises spécialisées dans la sécurité informatique. En face: sa Sainte Parole.
L'abruti parle beaucoup mais ne démontre jamais rien.
L'abruti est bien au-dessus de ça.
Moi j'attends toujours mon retour à la réalité, que vous me convainquiez de la rationalité de vos affirmations. La seule chose qu'il me faut c'est des preuves. Une plateforme ou une autre je n'en ai rien à foutre. Je ne suis pas un fanboy, contrairement à l'abruti. Le fanboïsme c'est les égouts de l'idéologie qui sont les égouts de la pensée. Voilà d'où il sort. Tout ce que je veux d'une plateforme c'est qu'elle soit la plus sûre du marché et si c'est Android ça me fera économiser de l'argent. Et pour te dire à quel point l'abruti est vraiment un abruti et n'a rien compris à mon discours, j'envisage sérieusement que mon prochain soit un Android One et pas un iPhone. Mais voilà il fallaitt qu'on me le démontre. Jusqu'ici toutes mes recherches ont abouti à un consensus dans l'industrie: iOS n'est certainement pas parfait mais il est plus sûr qu'Android, en raison de la limite des mises à jour système. Si Android One règle ça ça me va. Et je n'ai jamais dit autre chose, même dans des échanges précédents. Mais désolé, votre belle parole ne me suffira jamais. PERSONNE jusqu'ici ne m'a donné autre chose que sa parole, et ce n'est certainement pas celle d'un fanboy hystérisé tel que l'abruti qui va me convaincre. Être aussi arrogant et aussi sot c'est au-delà du pathétique.
Tu montres toute ton ignorance... Il faut une seconde et demi pour aller sur cveexploits et regarder le nombre de failles documentées, ce sont des chiffres objectifs, et pas faire comme toi et balancer comme un couillon le premier lien qui tombe, c'est cela l'objectivité, mon poussin.
Tout comme quand tes copains balancent des liens sur Facebook, tu vas sur hoaxbuster et 90% du temps, c'est du vent.
Les failles iOS/Android sont dans un rapport 1/1.3 si tu n'es pas capable de vérifier, ne lance pas le sujet, et abstinens toi, reviens quand tu sais de quoi tu parles, plutôt que de faire le petit boulet.
Android One n'a rien a voir non plus, tu mélanges plein de concepts et tu essayes de donner les leçons. Moi je ne fais rien de plus que de donner les chiffres plus haut, facilement vérifiables par tout un chacun
"Les failles iOS/Android sont dans un rapport 1/1.3"
J'ai fini par trouver le lien pour iOS. Pas grâce à l'abruti, trop couillon pour même faire ça.
Je mets les plus gros chiffres en gras, le total, et les trois dernières années, qui correspondent à peu près à la durée de vie moyenne d'un smartphone. Parce qu'on ne parle pas du sexe des anges mais de la vie réelle:
iOS total, 2017 total/critiques, 2018 total/critiques, 2019 total/critiques: 1654, 387/60, 125/15, 156 (1,5/1) (même ça pas foutu de l'avoir exact)/25
Android total, 2017 total/critiques, 2018 total/critiques, 2019 total/critiques: 2250 (1,36/1), 843 (2,18)/346 (5,7), 611 (4,88/1)/100 (1,66/1), 103/33 (1,32/1)
C'est convaincant. Ça confirme bien mes sources.
Dans ton admirable objectivité, j'attends bien que tu viennes nous expliquer que les failles critiques, finalement, ce n'est pas grave. Enfin, quand elles sont sur Android bien sûr.
Je me demande combien de ces 100 failles critiques sur Android de 2018 n'ont été bouchées que sur une poignée d'appareils.
Que de bobards tu racontes. Mon gros loulou.
"Android One n'a rien a voir non plus"
"Android One phones will receive at least two years of OS upgrades"
Je n'ai qu'une petite source minable, contrairement aux tiennes qui brillent tant. Par ton impuissance à en fournir. Un aveu constant de malhonnêteté.
https://www.android.com/intl/en_in/one/
Android One assurant les mises à jour directement par Google, ça a tout à voir avec le bouchage des failles sur le "long" (🙄️) terme, qui est et reste le problème que j'ai avec Android et que je pointe depuis le début comme tel.
S'il fallait une démonstration supplémentaire que plus tu affirmes moins tu en sais…
Rassure-toi je n'attends strictement pas l'once du début d'une trace d'honnêteté de ta part. Tu en es totalement dépourvu.
À bientôt de te voir te ridiculiser à nouveau, tu sembles vraiment addict.
C'est bon, tu avances.. tu as trouvé les bons chiffres après autant de temps :-)
Merci pour l effort c'est appréciable, tu parais un peu moins bête avec un peu de coaching
Après, tu nous fais quoi comme calcul ?
2250/1654 = 1.36 soit exactement ce que j'ai annoncé... Ha oui, j'ai arrondi a 1.3, quelle honte ! Tu l'as toi même écrit dans ton premier résultat.
Et toi tu arrives avec ton vieil article pour dire que c'est un facteur 3, c'est qui le tocard ?
L'éducation n'est pas obligatoire chez vous ?
@ Godverdomme :
Merci d'avoir confirmé que ma position est tout à fait équilibrée et soutenue par les sources que tu auras enfin fini par découvrir toi aussi (bravo!).
Merci d'avoir confirmé que rien dans ta position ne tient la route et que tu es impuissant à la défendre autrement que par la mauvaise foi la plus crasse.
Au moins tu nous auras fait bien rire! 😀️
Merci encore 🙏️
Des fois je me demande si tu n'es pas un fan Android qui essaye de faire passer les fans iPhone pour des cons....
C'est réussi en tous cas
Ne te poses surtout pas trop de questions d'un coup, tu risques de griller des neurones, les pauvres n'ont pas l'habitude.
Quant à faire passer les utilisateurs d'iPhone pour des connards aussi incapables que prétentieux et arrogants, sans cervelle et sans morale, vraiment tu n'as besoin d'aucune aide.
Mon lapinou, c'est toi qui sort un vieil article de 2016 pour dire qu'Android a trois fois plus de failles qu'iOS, je te parle du vrai site de référence, ou toi comme moi on constate un rapport de 1.3 entre le nombre de failles iOS/Android, et tu es incapable de dire quoi que ce soit de plus qu'abruti ou traiter les gens de cons.
Moi je vais très bien, sinon :-D
Évidemment que tu vas très bien! Tu crois encore ne pas avoir perdu la face 😂️
Il est mignon. On l'aime bien au village.
Traiter les gens de cons, ce n'est pas leur faire perdre la face, cela fonctionne peut être dans un bac a sable a 4 ans et demi, mais pas sur un forum technologique.
Je répète que les failles iOS et Android sont dans un rapport 1,3 de tout ce que tu fais, c'est gigoter en disant que je perds la face et ne sachant plus quoi faire, après t être trompé lamentablement pour trouver les données.
Si il y en a un qui a du mal a rester sérieux, ce n'est pas moi.
Mon point est clair, précis et tu as aussi les même données. Le tien est juste flou et tu ne sais pas quel argument apporter et personne ne sait où tu veux en venir
Oh, tout à coup il donne un point clair et précis 😂️
Petit clown 🤡️
Non non, ce n'est pas en raison de mes descriptions que tu as perdu la face. Tes arguties sophistiques sont très efficaces pour ça, petit Gorgias.
Mais c'est bon pour moi. Personnellement j'ai bien eu ce que je voulais, et je vais garder soigneusement cet url, mais je me désabonne du fil. À mon sens tu t'es assez ridiculisé mais je ne doute pas que tu vas vouloir en mettre une couche supplémentaire. N'hésite pas, lâche-toi!
Pages