Une faille permettait d’exécuter du code à distance via Messages jusqu’à iOS 12.4

Nicolas Furno |

Samuel Groß, l’un des chercheurs en sécurité au sein du Google Project Zero, a présenté une faille de sécurité assez impressionnante la semaine dernière à l’occasion du Chaos Communication Congress (CCC). Il a découvert un moyen d’exécuter du code à distance sur un appareil iOS, simplement en connaissant son numéro de téléphone ou l’adresse mail associée au compte iCloud du terminal. L’attaque se fait via l’app Messages et elle est très sérieuse, mais elle a aussi été d’ores et déjà corrigée par Apple.

Démonstration de l’attaque en cours. Pour que ce soit plus parlant, les notifications s’affichaient sur l’iPhone ciblé à droite, mais l’attaque fonctionne sans aucune alerte, pour plus de discrétion.

En effet, la faille dévoilée ici ne concerne pas iOS 13, elle est limitée à iOS 12.4 au maximum, ce qui veut dire que les appareils bloqués sur iOS 12 peuvent s’en protéger en installant la dernière version (12.4.4). Comme toujours, Apple a été notifiée en amont et a eu le temps de corriger la faille avant que le chercheur en sécurité ne publie ses résultats.

Si le sujet vous intéresse, la conférence entre dans les détails sur l’architecture de l’app Messages et sur l’origine de la faille qui permet de sortir du bac à sable de la messagerie d’Apple pour accéder à d’autres apps et même au noyau d’iOS. C’est très technique, mais vous pouvez suivre les explications si vous avez quelques connaissances de base dans le domaine.

avatar Merkoriko 2 | 

J'ai cru qu'il fallait jeter tous les ijoujoux bloqués de force sur iOS12 pour acheter, contraint, les iPhones 11 qui ne vaudront plus rien dans 6 mois à cause de la 5G...ouf !!!

avatar mapiolca | 

@Merkoriko 2

Parce que dans 6 mois là 5G sera partout ? Perso, la 5G je m’en fou un peu, c’est plutôt le zones blanches et la fibre qu’il faut déployer

avatar Merkoriko 2 | 

@mapiolca

Ceux qui sont dans les zones blanches n'intéressent pas Apple...ils se regroupent sur des ronds points et portent des gilets jaunes : pas une thune donc valeur Apple = 0...CQFD

> https://dai.ly/x7psxsj

avatar pat3 | 

@Merkoriko 2

Tu voulais juste qu’on voie ta vidéo ou bien ? Parce qu’on est bien d’accord qu’elle n’a absolument rien à voir ?

avatar BLM | 

@Merkoriko 2
Sympa le Merkorico! Et complètement citadino-centré pour ne pas dire ignorant des évolutions démographiques des campagnes. Et pour couronner l’ineptie de la contribution, pour percevoir les "gilets jaunes" comme un mouvement de "bouseux fauchés" il faut afficher l’aplomb des ignares (que je sache, les ronds-points ne sont pas un équipement routier des campagnes).
Bref, encore un morgueux décérébré à ajouter à ma liste noire.

Une suggestion pour l’équipe MacG : serait-il possible d’ajouter à l’application (et au site) un « filtre liste noire » qui supprimerait automatiquement du fil des contributions que l’on consulte les auteurs de [dont on pense les] participations ineptes ralentissant l’accès aux informations pertinentes ?

avatar iCHrome | 

@BLM

Hello, pour le filtre tu peux déjà le faire en masquant toutes les contributions d’un pseudo.
A moins que tu ne parlais d’un filtre automatique basé sur la stupidité des propos mais là ce n’est pas gagné car on est tous le con d’un autre 😅
Mais macge pourrait publier le top 5 des pseudos masqués par les utilisateurs🤣

avatar BLM | 

@iCHrome
«pour le filtre tu peux déjà le faire en masquant toutes les contributions d’un pseudo.»
Bonjour,
je ne sais pas faire (et je dois avouer que je n’avais pas vraiment cherché avant d’évoquer cette possibilité dans ma réponse).
C’est déjà possible, où ? Sur le site Web, ou avec l’application iPhone/iPad ?
Pouvez-vous, s’il vous plaît, indiquer en trois mots la procédure ?
Merci

avatar iCHrome | 

@BLM

Si je ne dis pas de bêtise, sur l’application il suffit de faire un glisser vers la gauche sur le commentaire en question et de cliquer sur l’œil barré.
Réservé certainement aux abonnés.
Après je ne vais que très rarement sur le site donc je ne sais pas si ça marche aussi...

avatar bibi81 | 

Mais macge pourrait publier le top 5 des pseudos masqués par les utilisateurs

Oui comme ça ils pourraient utiliser un autre pseudo pour poster et invalider l'intérêt du filtrage !!

avatar eastsider | 

@BLM

Tu m'as régalé!

avatar supermars | 

@Merkoriko 2

T’as trop bouffé de la télé. Ignare-va...

avatar scanmb | 

@Merkoriko 2

Quel raisonnement de haute volée, et très équilibré, de surcroit.
Félicitations !

avatar macfredx | 

@mapiolca

+1

avatar djgreg13 | 

@Merkoriko 2

J'ai même pas de 3g ni de 4g et la pose prévu dans la commune est du 3g en fh dans un premier temps alors avant la 5g on a du chemin

avatar scanmb | 

@Merkoriko 2

j ‘allais oublier:
Confondant de sottises ....

avatar Merkoriko 2 | 

Il y en a du champion...entre celui qui veut censurer et l'autre qui se sent insulté...
Je reprends : si vous croyez qu'Apple optimise ces produits pour des gens qui n'ont pas les standards de connection citadins (fibre et 4G), je pense que vous vous trompez...le jour, où ils s'y mettront peut-être, c'est que leurs rednecks, j'allais dire leurs "white trash" (mais certains vont encore se sentir visés...), auront gagné en pouvoir d'achat.
Vous croyez sincèrement qu'Austin Martin optimise ses voitures sur les commentaires d'un magazine de tuning? Il m'étonnerait fort que leurs clients y soient abonnés...

Quand à l'autre cretin qui braque le McDo, même le métier qu'il a choisi, il n'est pas capable de le faire correctement, et c'était pour démontrer que les citadins n'ont pas non plus la palme de l'intelligence...mais comme il faut tout expliquer et dès qu'on écrase une mouche, il faut être enfermé dans un camp de concentration, voilà...

avatar JokeyezFX | 

@Merkoriko 2

Donc tu critiques les gilets jaunes, derrière ça tu balances la vidéo du braquage du McDo et un être humain normalment constitué doit en déduire que cette vidéo fait référence à l’opposé de ceux (les gilets jaunes) dont tu fais mention dans ton commentaire juste avant ?

Ah ouais 🤔

Ah et... on dit Aston Martin quand on est pas abonné à JackyTunning Magazine.

avatar Merkoriko 2 | 

@JokeyezFX

Ahaha, mon petit gars, tu m'as tué....
Si les gilets jaunes, au lieu de quémander 100€ de plus pour leurs gamelles, chacuns dans leurs coins, comme les gars pour leurs retraites aujourd'hui, avaient revendiqué l'abrogation des lois sur l'optimisation fiscale, cela aurait été un plus solide...et bizarrement, personne de ceux qui les ont récupéré de Le Pen à Mélenchon, encore moins les syndicats, ne leur ont soufflé un mot sur ça...ceci dit, je peux me tromper...De loin, comme j'étais à l'étranger, ça puait l'enfumage dès le début...

Concernant Aston Martin, je le mets sur les critères de mon ex beau-père, et le nombre de fois ou j'ai posé mon .....sur le cuir de ses sièges : l'orthographe est donc impardonnable.
Pas d'abonnement sur des magazines de tuning, puisque, perso, je n'ai jamais eu de Peugeat ni de Fiot(tes)...si tu trouves la réf, pour le cas, t'es un vrai champion), parce que j'ai toujours conduit allemand : Mercedes pendant 25 ans...principalement 280CE. Voilà...

Bon réveillon à tous...

avatar JokeyezFX | 

@Merkoriko 2

C’est bien et je suis content que tu me partages ton opinion sur les gilets jaunes, même si j’n’ai jamais abordé le sujet.
Je te faisais juste remarquer qu’il n’y avait rien d’évident à associer ton commentaire sur les gilets jaunes à l’anti-thèse de ta vidéo proposée.

Et concernant l’orthographe, c’était juste histoire de bien clôturer ma réplique, tant mieux pour ton p’tit cul confortablement installé.

Et joyeux réveillon 😉

CONNEXION UTILISATEUR