iOS 13.4.5 va boucher une grosse faille dans Mail 🆕
iOS 13.4.5 n’arrivera jamais assez tôt. Cette version en bêta du système d’exploitation est en effet censée contenir un correctif pour deux failles de sécurité assez sérieuses. Les chercheurs en sécurité de ZecOps expliquent qu’une vulnérabilité permet à des malandrins de pirater un iPhone en envoyant un simple courriel aux victimes.
ZecOps explique que l’utilisateur n’a même pas besoin de toucher le message pour que son smartphone soit infecté sous iOS 13 (sous iOS 12, il faut que la victime touche le courriel). Il suffit que l’e-mail spécialement conçu soit téléchargé par le client mail de la victime pour que le malware puisse s’installer et faire des ravages.
Mail est vulnérable, mais pas Outlook ni Gmail, selon les chercheurs. Tous les iPhone et iPad sont concernés, depuis iOS 6. Cela fait au moins deux ans que la faille est exploitée par des brigands ; au moins six cibles ont été identifiées : un opérateur télécom japonais, une « grande entreprise américaine », des sociétés tech en Israël et en Arabie saoudite, un particulier en Allemagne et un journaliste européen.
Le problème c’est que le malware en lui-même est difficile à obtenir. ZecOps a rassemblé un faisceau de présomptions dans iOS, mais pas le logiciel malveillant en lui-même, les messages qui le colportent ayant été effacés. Apple a néanmoins pris les choses en main en barricadant iOS dans sa prochaine version. La solution à l’heure actuelle est d’éviter d’utiliser Mail. Plus facile à dire qu'à faire alors qu'iOS ne permet pas de changer de client mail par défaut.
Puisque ces failles semblent si dangereuses, pourquoi ZecOps les dévoile publiquement alors que le correctif n'est pas encore disponible pour tous ? Tout d'abord, les bandits doivent exploiter des bugs supplémentaires pour obtenir l'accès à l'iPhone. De plus, les vulnérabilités dévoilées par les chercheurs ne seront bientôt plus d'aucune utilité, Apple les ayant corrigées — certes, dans une bêta. Les forbans savent que l'opportunité d'exploiter ces failles est en train de s'évanouir et pourraient être tentés de l'utiliser à fond, d'où la nécessité de prévenir les utilisateurs. ZecOps espère qu'en mettant ces deux failles au grand jour, Apple va accélérer le développement d'iOS 13.4.5.
MàJ le 24/04/2020 07:46 : Apple a communiqué sur cette faille de sécurité. L'entreprise explique avoir mené une enquête complète et déterminé que les trois failles de sécurité découvertes dans Mail ne suffisent pas à contourner les sécurités mises en place sur les iPhone et iPad. En clair, ces failles existent bien, mais elles ne suffisent pas à obtenir un accès complet à un appareil iOS et c'est pourquoi elles peuvent attendre une future mise à jour pour être corrigées.
Par ailleurs, la firme de Cupertino indique n'avoir aucune preuve de leur utilisation. C'est un point important, puisque ces failles touchent tous les iPhone depuis iOS 6, mais il faut évidemment rappeler qu'une exploitation a pu avoir lieu à l'insu d'Apple. Quoi qu'il en soit, le correctif intégré à iOS 13.4.5 ne devrait plus trop tarder.
@Krysten2001
Ce n'est pas ce que je voulais dire dans le fond. Simplement maintenant c'est beaucoup plus commercial qu'avant et mister Cook connaît plus l'argent qu'autre chose.
@bidibout
Apple n’a jamais été aussi bien dans son histoire 🤔🙃 donc c’est que ça se passe bien 😉
@marenostrum
La faille n’a peut-être pas autant d’ampleur qu’on peut le penser https://twitter.com/rmogull/status/1253124362632228870?s=21
y'a encore des bedeaux qui utilisent Mail ?
la honte 🙈
@alan1bangkok
"y'a encore des bedeaux qui utilisent Mail ? "
Fais moi rire
Toi c’est ?
Gmail 🤪
Outlook ? 😱
..... 🤐
Mais concrètement l’exploitation de la faille permet de faire quoi ? Prise de contrôle de l’appareil, lecture des données, etc. ?
@l3aronsansgland
Je t’ai vu hier te curer le nez.
Maintenant tu as une idée de ce que fait la faille 🤗
C’est un vrai tape taupe ses failles.
cette faille existe depuis 8 ans ...bien connu ...
@jeromewebnet@yahoo.fr
https://twitter.com/rmogull/status/1253124362632228870?s=21
Selon les chercheurs, il pourrait être difficile pour les utilisateurs d'Apple de savoir s'ils ont été ciblés dans le cadre de ces cyber-attaques, car il se trouve que les attaquants suppriment les e-mails malveillants immédiatement après avoir accédé à distance à l'appareil des victimes.
@jeromewebnet@yahoo.fr
Ça me fait un peu flipper car je suis persuadé ce matin avoir entendu deux notifications de Mail mais il n'y en avait qu'un, bon j'étais peut-être mal réveillé puisque les yeux ouverts depuis quelques minutes à peine.
Il serait vraiment intéressant (indispensable) de savoir quelles sont les infos potentiellement accessibles et comment savoir si on est concerné (apparemment pour ce dernier point ça semble impossible).
Selon ce qu'écrivent ces chercheurs en sécurité, il est probable que la faille, couplée à une autre faille, donne un accès complet à l'iPhone ciblé.
@SyMich
Ah oui quand même 😳
@jeromewebnet@yahoo.fr
De ce que je lis, la faille n’a pas autant d’ampleur. https://twitter.com/rmogull/status/1253124362632228870?s=21
T'es au courant que les failles ça peut se cumuler ?
@mâle_blanc_cis_het_et_fier
Comme dans tout système... à voir celle-ci. J’attends plus d’explications
Bah pourquoi tu spam ton vieux lien vers twitter pour essayer de minimiser le problème dans ce cas lucas ? :)
Ca sert de porte d'entrée à un malware sur lequel ils ont du mal à mettre la main. Donc sortir ololol mais c'est pas dangereux quand ce même malware peut embarquer lui-même plusieurs autres failles pour faire ce qu'il a faire...
@mâle_blanc_cis_het_et_fier
Vieux lien ? Il date d’aujourd’hui 😉 et je ne minimise rien du tout, je m’informe
Du mal avec les expressions française ? :)
@mâle_blanc_cis_het_et_fier
Ça se peut 🤔 je suis belge donc je ne suis pas former à vos expression 🙃
@mâle_blanc_cis_het_et_fier
Encore un lien récent :) https://appleinsider.com/articles/20/04/23/apple-says-ios-mail-vulnerabilities-do-not-pose-immediate-threat-patch-coming
À noter, bien que les données confirment que les e-mails d'exploitation ont été reçus et traités par les appareils iOS des victimes, les e-mails correspondants qui auraient dû être reçus et stockés sur le serveur de messagerie étaient manquants. Par conséquent, nous en déduisons que ces e-mails ont été supprimés intentionnellement dans le cadre de" des mesures de nettoyage de sécurité opérationnelle d'une attaque ", ont déclaré les chercheurs.
Je doute qu'Apple patche toutes les versions d'iOS jusqu'à iOS6...
Je crains que seuls les appareils compatibles iOS13 aient droit à la correction avec iOS 13.4.5 et pour ceux restés sur des versions antérieures, tant pis pour eux.
(Je n'ai jamais digéré que la grosse faille du WPA2 sur le WiFi ait été laissée béante par Apple sur iOS10!)
@SyMich
Apple corrige encore sur les appareils restant sous iOS12 et a déjà fait iOS10 si je ne m’abuse donc attendons
@SyMich
De ce que je vois, la faille n’a pas autant d’ampleur. https://twitter.com/rmogull/status/1253124362632228870?s=21
Pirater c’est un peu vague. Tout dépend de ce qu’il est possible de récupérer ou de faire avec. C’est quand même énervant que ce ne soit pas plus sécurisé que ça...
J’ai lâché mail depuis des années pour Spark j’ai bien fais dû coups lol
@IphoneX
Le logiciel qui demande l’accès à tes mails pour mieux les trier? 🤣
N’empêche ça fait flipper et je trouve les informations incomplètes dans l’article. Quel est l’accès qui est donné? L’iPhone complet? Les mails?
Je suis hyper déçu du laxisme. J’ai essayé d’autres clients mais gmail = Google, et Outlook je n’ai pas trop aimé...
Spark et airmail analysent les mails donc niet.
Faux! C'est Android la passoire.
j'ai lu qu'ils donnent un million de $ qui arrive pirater leurs servers.
les créateurs de Google sont aux postes toujours (pour ça d'ailleurs que leurs spécialistes en sécurité trouvent des failles dans macOS ou iOS et pas le contraire). il faut s'inquiéter quand ils partiront.
Apple est toujours bon en design (même là il faut voir maintenant que Ive est parti) mais en code et failles ils font pire maintenant que Windows.
La faille permet l’exécution arbitraire de code via l'envoi d'un simple mail a un iOS utilisant Mail. En gros quel est l'impact ?
De manière triviale : permettre la consultation, modification, suppression de tout ou parti de ce qui se trouve dans Mail.
Un peu moins simple : En la combinant avec une faille liée au confinement applicatif avoir accès aux autres applications ou à l'ensemble du système
---
C'est a cela que servent les "antivirus", soit détecter via un dictionnaire de signature les fichiers qui ont pu être corrompus, soit via analyse comportementale / euristique les comportements suspects.
@lmouillart
https://twitter.com/rmogull/status/1253124362632228870?s=21
La faille n’aurait pas autant d’ampleur d’après ce qu’on peut lire
La faille est importante mais bon sur Androïd, y’en n’a des dizaines des comme ça. Et quand c’est Apple, ça fait toujours scandale !
Mais y’en n’aurait vraiment beaucoup d’histoire à raconter, quand c’est Apple qui fait la faute, tout le monde en parle mais quand c’est les autres constructeurs qui avait fait pour certains la faute avant Apple, que dalle. Par exemple le Bendgate, holala l’iPhone se plie, alors que en réalité y’avait des smartphones Android encore plus facile a plier mais non aucun bruit.
La dernière fois, la faille sur Paypal, elle a pas fait hyper grand bruit alors que c’est trois fois pire !!!
Apple est en tort là mais bon je préfère encore leurs confier mes données que à Google, qui eux se font peut être pas volé les donnes mais il les exploite eux même donc ....... pas mieux
@iFloXs
En quoi Apple est en faute ?🤔 et de ce qu’on peut lire, la faille n’a autant d’ampleur.
https://twitter.com/rmogull/status/1253124362632228870?s=21
@iFloXs
Des dizaines comme ça ?
Whaaaaaaa !
On veut la liste s'il vous plaît !
Apple tout comme Google exploite commercialement vos données via sa Régie publicitaire!
https://support.apple.com/fr-fr/HT205223 en vendant des campagnes de publicités ciblées à des annonceurs.
@SyMich
Attendez déjà c’est respectueux de la vie privée et en plus c’est sur un service pas sur tout ce qu’on fait
@Krysten2001
Krysten2001 élu à l'unanimité fanboy du mois pour l'ensemble de son œuvre, hélas toujours en cours
@alan1bangkok
Pfff excusez-moi de ne pas dire amen à toutes vos conneries
La chose inacceptable que l’on puisse reprocher à Apple c’est de ne pas laisser les utilisateurs d’iOS changer de client mail par défaut 😤😤
J’ai desinstallé mail de mon iPhone et utilise désormais l’application Gmail.
Je trouve hallucinant que cette faille traîne depuis iOS6 !!!! C’est juste incroyable. Nous sommes loin de la qualité matériel et logiciel dont nous avons été habitués. Ca fait réfléchir.
@akelodeon
Encore une fois, iOS 6 à l'époque était moins complexe que ça. Depuis de multitude fonctionnalités et des couches ont été rajoutées. Fatalement on se retrouve avec un système plus complexe et plus difficile à corriger.
Blague à part...
Quel client e-mail est à recommander?
Spark est gratuit et cela me fait peur.
Airmail n’est pas fiable.
Une idée de dossier pour @MacG?
Là où je vois que (en tout cas pour moi) l’image d’Apple a changé, c’est qu’après un communiqué comme celui qu’ils viennent de faire, je me dis « mouais... ».
Y’a 10 ans, je leur aurais fais confiance. Aujourd’hui, pas vraiment...
Effectivement la faille seule ne permet pas d’avoir un contrôle de l’appareil mais avec d’autres failles comme Checkm8.... ça fait des chocapics 😉
https://www.mobileiron.com/en/blog/apple-mail-rce-exploits-mobileiron-guidance
C'est quand même des gros blaireaux chez Apple...
ils nous disent "L'entreprise explique avoir mené une enquête complète et déterminé que les trois failles de sécurité découvertes dans Mail ne suffisent pas à contourner les sécurités mises en place sur les iPhone et iPad. En clair, ces failles existent bien, mais elles ne suffisent pas à obtenir un accès complet à un appareil iOS et c'est pourquoi elles peuvent attendre une future mise à jour pour être corrigées."
Le chercheur en sécurité ne dit pas autre chose (les failles décrites permettent juste d'agir au sein de l'app Mail) SAUF qu'il explique que combinées à d'autres failles existantes, ces failles de Mail permettent d'obtenir un accès complet à l'iPhone!
Ce que confirme par exemple MobileIron https://www.mobileiron.com/en/blog/apple-mail-rce-exploits-mobileiron-guidance qui cite par exemple la faille chekm8 qui a le gros défaut de ne pas pouvoir être corrigée!
@SyMich
Sauf que plusieurs articles disent le contraire. Voilà pourquoi Apple a intervenu sur le sujet. Suffit de taper sur internet pour qu’on voit que ça prend un total contrôle sur l’iPhone.
Mais Apple intervient pour dire LA MÊME CHOSE que le chercheur qui a révélé ces failles... ces failles seules ne peuvent intervenir qu'au niveau de Mail (ce qui est déjà inquiétant)
Par contre, ils ne disent rien quant à la possibilité, désormais démontrée par plusieurs personnes, qu'en les utilisant conjointement avec d'autres failles on obtient un accès total de l'iPhone.
Peu importe que plusieurs disent que ce n'est pas le cas, il suffit d'UN exemple montrant que c'est possible!
@SyMich
Faut bien que l’acteur principal le dise. Vous avez vu combien d’articles disent qu’avec seulement cette faille on a un total control ? Ils sont là pour clarifier la situation c’est tout.
Pages