Ouvrir le menu principal

iGeneration

Recherche

Une faille de sécurité liée à XML permettait à une app de sortir du bac à sable d’iOS

Nicolas Furno

vendredi 08 mai 2020 à 15:15 • 19

iOS

Apple a corrigé avec iOS 13.5 une faille de sécurité détaillée par le chercheur en sécurité qui l’a découverte et qui l’a surnommée « Psychic Paper » en référence à Doctor Who. La correction n’est pas encore complètement disponible, puisque cette version est toujours en bêta, mais iOS 13.4 l’avait déjà comblée en majorité, si bien qu’elle ne peut plus être exploitée. Cette faille était assez importante néanmoins, puisqu’elle permettait de sortir de la sandbox (bac à sable), cet espace de travail réservé à une app qui est normalement une barrière infranchissable.

En exploitant un bug dans iOS, une app distribuée sur l’App Store pouvait se faire passer pour une app native conçue par Apple et obtenir un accès complet à tous les fichiers stockés sur un iPhone ou un iPad. Ce bug est lié à une particularité d’iOS, qui est un héritage de macOS : tous les paramètres des apps sont stockés dans des fichiers plist qui sont codés en XML, littéralement « langage de balisage extensible ».

Ces quelques lignes de code permettaient à une app de sortir de la sandbox.

Ce standard créé à la fin des années 1990 est très pratique, entre autres choses, pour stocker des informations sous la forme d’une clé et d’une valeur. Dans le fichier plist d’une app, on trouvera notamment une clé « name » avec le nom de l’app comme valeur, et une autre « version » avec son numéro de version. C’est aussi dans ce fichier que les permissions de l’app sont consignées par son développeur. Si elle doit accéder à l’appareil photo d’un iPhone, elle doit le renseigner dans ce fichier.

Les apps d’Apple utilisent ce même système, mais elles ont des droits supplémentaires qu’elles sont les seules à pouvoir exploiter. En théorie, iOS doit bloquer une app de l’App Store qui essaie de les utiliser, mais il faut savoir que le XML est un langage très complexe à analyser.

Il offre beaucoup de souplesse et il est en général possible d’utiliser plusieurs notations différentes qui sont toutes considérées valides, même si elles ne respectent pas strictement les règles. Cette liberté a un prix : déchiffrer un fichier XML nécessite de gérer tous les cas de figure, avec le risque de laisser une brèche si ce n’est pas le cas. Dans cet exemple, Apple n’avait pas prévu qu’un commentaire puisse être volontairement mal écrit pour duper le système.

En utilisant des commentaires « mal » écrits, mais considérés comme valides, le chercheur en sécurité à réussi à contourner l’une des protections en place dans iOS.

C’est exactement ce qu’a fait ce chercheur en sécurité. En insérant volontairement une erreur dans la balise qui sert à insérer des commentaires, il a réussi à générer un fichier XML qui reste valide et qu’iOS accepte volontiers, mais qui n’était pas toujours analysé correctement. Normalement, ce qui se trouve à l’intérieur du commentaire est systématiquement ignoré. Dans certains cas toutefois, iOS se faisait tromper par l’erreur dans la balise des commentaires, conduisant à lire et exécuter ce qui se trouvait à l’intérieur.

Pour comprendre, il faut ajouter qu’il n’y a pas une seule instance dans iOS qui se charge de vérifier les autorisations des apps, il y a plusieurs modules qui ont tous des mécanismes de vérification différents. Ainsi, même si lors de l’installation de l’app, iOS ne se fait pas avoir par le commentaire mal écrit, un autre processus en arrière-plan pouvait par la suite être moins strict et accorder à l’app des autorisations étendues.

Le correctif apporté par Apple consiste précisément à s’assurer que tous les processus de vérification sont sur la même longueur d’onde. Si l’un d’eux obtient un résultat différent de l’autre, iOS remonte désormais une erreur plutôt que d’exécuter le code, ou en l’occurrence d’accorder à tort des autorisations.

Si le sujet vous intéresse, l’article qui détaille la faille de sécurité est suffisamment simple pour être suivi même si vous n’êtes pas chercheur en sécurité ou développeur.

Soutenez MacGeneration sur Tipeee

MacGeneration a besoin de vous

Vous pouvez nous aider en vous abonnant ou en nous laissant un pourboire

Soutenez MacGeneration sur Tipeee

iPhone pliable : Apple préparerait une ligne de test à Taïwan

09:58

• 0


Maison sous iOS 26 reprend la gestion automatisée du chauffage de Tado°

08:55

• 19


Encore du stock pour les iPhone 17 (Pro), l’Apple Watch Ultra 3 et les AirPods Pro 3

08:31

• 26


Meta lance les Ray-Ban Meta Display, premières lunettes intelligentes à écran intégré

07:52

• 39


Apple va corriger un problème avec l'appareil photo des iPhone Air et 17 Pro Max

07:51

• 20


iPhone 17 (Pro) : verres trempés, coques et chargeurs déjà en promo dès 10 €

17/09/2025 à 23:30

• 38


Gardez une eau toujours parfaite : testez-la avec ce capteur connecté

17/09/2025 à 21:00

• 0


Avec iOS 26, l’alarme se fait entendre : gros boutons et déclenchement par les apps tierces

17/09/2025 à 20:30

• 28


SwitchBot commercialise deux robots aspirateurs à petit prix et pleinement compatibles avec Matter

17/09/2025 à 19:25

• 18


Revue de tests de l’iPhone Air : le design séduit, les compromis interrogent

17/09/2025 à 16:26

• 120


Revue des tests des iPhone 17 Pro : ils chauffent moins, mais ne réinventent pas la roue

17/09/2025 à 15:50

• 51


Revue de tests de l'iPhone 17 : un choix enfin plus simple face à l'iPhone 17 Pro

17/09/2025 à 15:47

• 39


Les iPhone 18 Pro auraient un A20 gravé très fin et une 5G sans Qualcomm

17/09/2025 à 14:32

• 24


Des supports magnétiques pour iPhone et un chargeur allume-cigare pour la voiture en promotion

17/09/2025 à 14:15

• 4


tvOS 26 à l’essai : notre prise en main des nouveautés pour l’Apple TV

17/09/2025 à 13:00

• 19


Samsung ajoute de la publicité sur l'écran de ses frigos connectés

17/09/2025 à 11:15

• 55