Piratages d'iPhone : les Ouïghours visés, Android et Windows seraient aussi concernés
De nouvelles informations importantes ont émergé sur les cas de piratages d'iPhone exécutés simplement depuis des sites web. L'équipe de sécurité de Google qui a lancé l'alerte avait laissé plusieurs questions en suspens, notamment s'il y avait des cibles précises.
TechCrunch et Forbes affirment que ces piratages visent les Ouïghours. Cette minorité musulmane qui vit dans le Xinjiang, au nord-ouest de la Chine, est persécutée depuis des années par le gouvernement chinois.
Les iPhone piratés envoyaient discrètement à un serveur de nombreuses données personnelles, dont le contenu de plusieurs messageries instantanées, le carnet d'adresses et la position en temps réel de l'utilisateur. Cette campagne de piratage exploitant plusieurs failles a démarré en 2016 au moins et Apple y a mis fin au début de l'année avec iOS 12.1.4.
Les sites web qui servaient de vecteurs étaient destinés aux Ouïghours. Selon Google, ces sites étaient consultés par des milliers de visiteurs chaque semaine. Outre les Ouïghours basés en Chine, la diaspora et leurs soutiens dans le monde entier pouvaient être infectés par le logiciel espion. D'après TechCrunch, le FBI a demandé à Google de désindexer les sites vérolés.
Par ailleurs, l'iPhone n'était pas le seul type de terminal touché. Forbes indique que, selon ses sources, les piratages concernaient également les terminaux Android et les PC sous Windows. Ces appareils étaient infectés via les mêmes sites que ceux contaminant les iPhone.
Microsoft a répondu que l'équipe de sécurité de Google ne l'avait pas averti de ce danger (peut-être parce qu'elle n'était pas au courant) et que les mesures appropriées seront prises si de nouvelles informations font surface. Google n'a pas réagi quant au piratage évoqué d'Android et Apple n'a pas commenté toutes ces révélations pour l'heure.
@ fallherpe
lis plus bas l'info de byte_order, elle est très riche
Le fonctionnement de la découverte de failles de Google fonctionne autrement. Une fois la faille découverte, elle informe l'entreprise concernée qui a 90 jours pour la combler. Après 90 jours, comblée ou pas, la faille est rendue publique.
@Osei Tutu
Et donc dans ce cas précis ?
1 semaine comme le prétendait @AppleDomoAdepte ?
90 jours comme tu me l'écris (ce qui me semble plus raisonnable) ?
ou 210 jours comme l'affirme @fallherpe ?
Pour dire la vérité, ça n'a aucune importance pour moi, mais selon la chronologie l'histoire n'est plus la même, et je suis prêt à adapter l'histoire en cohérence avec les faits quels qu'ils soient.
Je ne fais que donner une précision. Sinon je retiens simplement qu'il y avait une faille et elle a été corrigée. Que Google ne se soit pas dénoncée est secondaire pour moi, utilisateur d'iOS. Je serais par contre plus inquiet quand je serai sur mon appareil Android. Après le reste n'est que littérature et souci d'actionnaires
https://fr.m.wikipedia.org/wiki/Project_Zero_(Google)
Il s'agit bien de 90 jours comme expliqué par ce lien
Merci (encore) @Osei Tutu
@Osei Tutu
> Après 90 jours, comblée ou pas, la faille est rendue publique.
C'est moins automatique que cela, mais en règle général y'a en effet un délai de prévenance durant lequel l'existence et les détails de la vulnérabilité ne sont communiqué qu'à l'éditeur. Passé ce délai, il n'y a plus de garantie que l'existence de cette vulnérabilité ainsi qu'éventuellement les détails techniques soient maintenus secrets.
Il se trouve ici qu'entre la semaine de délais accordée à Apple pour réagir et la levée du secret, il s'est passé bien plus que 1 semaine.
Un délai de prévenance de 90 jours, c'est juste un délai usuel, mais selon l'étendu du risque mais aussi des plateformes exposées, de plusieurs vendeurs par exemple, il peut être plus serré.
@J'en_crois Pas_mes yeux
> Apple a réparé au début de l'année, Google aurait prévenu il y a une semaine...
> Donc aucun lien entre Google et la réparation d'Apple
Euh, si, quand même, y'a même des références explicites aux numéros CVE et leurs auteurs dans le correctif d'iOS publié le 7 février en question :
https://support.apple.com/en-us/HT209520
Dans les auteurs, y'a bel et bien les noms de 3 membres de Google Project Zero.
Les CVE en questions ont été créés le 31 janvier :
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7286
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7287
D'ailleurs, juste après la sortie de cette version de iOS, un membre de Project Zero a posté un tweet pour en parler:
https://www.antid0te.com/blog/19-02-23-ios-kernel-cve-2019-7287-memory-corruption-vulnerability.html
Je vois donc mal comment il ne pourrait pas y avoir de relation entre 2 CVE identifiées une semaine avant par l'équipe Project Zero et une maj de iOS sortie une semaine après, listant officiellement ces mêmes CVE !
> @AppleDomoAdepte prétend que le délai est d'une semaine
Non, ce qu'il a dit c'est que Google Project Zero à donné 1 semaine à Apple après leur découverte le 31 janvier de ces vulnérabilités avant d'éventuellement rendre public les détails de ces vulnérabilités.
En pratique, ces détails techniques sont toujours non divulgués à ce jour, et Google Project Zero en parle un peu plus ouvertement que maintenant, 6 mois après.
La date de départ du délai d'une semaine, c'est celle de la création des CVE, antérieurs à la maj de iOS, pas la publication de cette semaine par Project Zero.
@byte_order
J'apprends et j'aime cela.Merci pour toutes ces informations
Dommage que je ne les ai pas eu avant, j'aurai écrit mes posts différemment...
et dit moins de bêtises ;-)
@J'en_crois Pas_mes yeux
Mais Apple y a mît fin plus de deux ans après 🧐
@ fallherpe "Apple y a mît fin plus de deux ans après"
Et donc ?
@ fallherpe
c'est point là qui est gênant effectivement
@ bunam
Oui c'est bien ennuyeux qu'il y ait des vulnérabilités dans tous les processeurs, tous les os et dont certaines durent depuis de très nombreuses années. Les experts en sécurités et les hackers dépensent des fortunes pour les trouver.
Et donc ?
@J'en_crois Pas_mes yeux
certaines personnes mieux qualifiées que moi jugent ces failles trop connes, donc soit c'est une négligence soit c'est volontaire...
Balèze
C’est encore plus drôle.
Pour Android , il n’y a pas eu besoin de Trous de sécurité.
Une App « officiel » est/était dispo sur le Play Store.
Comme (avant Android 10?) il n’ y a aucun avertissement sur l’accès aux données privées par une App (installation donne consentement globale ) , l’App récoltait à loisir 👹
@Sgt. Pepper "Une App « officiel » est/était dispo sur le Play Store."
Peux-tu développer s'il te pait ?
@J'en_crois Pas_mes yeux
https://twitter.com/securityfu/status/1167971475967463424?s=21
https://www.zdnet.com/article/reports-say-china-is-installing-surveillance-apps-on-some-visitors-phones/
@Sgt. Pepper
Merci, j'avais en effet lu cette information, mais le fait qu'elle était disponible sur le play store m'avait échappé.
@J'en_crois Pas_mes yeux
On trouve de tout sur les stores d'applications. Il y a par exemple une application qui instaure un contrôle sur les femmes saoudiennes qui est ou était téléchargeable sur l'Appstore. Aucune entreprise n'est vertueuse au-delà de ses intérêts et profits. Et quand je vois des consommateurs s'étriper, je me dis que les actionnaires peuvent dormir tranquilles.
@Osei Tutu "une application qui instaure un contrôle sur les femmes saoudiennes"
Absher - Apps on Google Play & Absher - App Store - Apple
Toujours en vente :-(
@Sgt. Pepper
Je viens d’ouvrir le playstore pour vérifier et je découvre que même messenger informe sur les données auxquelles il a accès. Ce serait donc une désinformation ?
@Osei Tutu
Oui OK , le Play store informe , (pas dis le contraire)
Sauf que personne ne lit vraiment ce genre d’info avant d’installer
Mais une fois installé, plus aucune autorisation n’est /était demandée.
Mais cela a/va changer.
https://www.zdnet.com/article/reports-say-china-is-installing-surveillance-apps-on-some-visitors-phones/
@Sgt. Pepper
Si personne ne lit, ce n'est pas la faute de Google ou d'Apple, c'est la faute à la négligence et au manque d'informations des utilisateurs. C'est pareil dans la vie de tous les jours. C'est comme si je ne lis pas les notices de médicaments et j'accuse les laboratoires pharmaceutiques.. Il a été fait cas ici également d'applications validées par les deux stores qui ont été décriées après. À un moment il faut accuser les bons responsables
@Sgt. Pepper
> Oui OK , le Play store informe , (pas dis le contraire)
Je cite :
"Comme (avant Android 10?) il n’ y a aucun avertissement sur l’accès aux données privées par une App (installation donne consentement globale )"
Donc, si, vous disiez le contraire. Juste quelques commentaires au dessus.
Par ailleurs, contrairement à un spyware qui s'installe en douce via une faille d'un moteur web, l'installation d'une application, elle, laisse une trace. D'abord, l'utilisateur sait qu'elle est installée (soit en le constatant dans la liste des applications installées, mais aussi au moment où *il* décide - ou on lui impose de le faire - d'installer l'app).
Il est donc de facto moins dans l'ignorance de l'existence de cette application.
@Sgt. Pepper
Depuis android 7 les permissions sont accordées une par une après installation d'une application. Les demandes globales,je les refuse et je désinstalle l'application. On peut critiquer un système et rester objectif. L'utilisation des deux systèmes au quotidien me permet de voir qu'il n'y a aucune transcendance de l'un sur l'autre. Il y a juste des préférences. Android et iOS ont leurs avantages et leurs inconvénients. C'est à chacun de profiter des possibilités offertes par ces deux systèmes
@Osei Tutu
Merci 👍
Reste qu’au début des attaques sur iPhone (fin 2016), les Android sous 5 et - était à 60% (30% aujourd’hui) globale
Et bien plus dans ces régions...
J’arrête la : juste la diversion sur mon point principale; Android est exploité et Google aura du le dire aussi.
👇
https://www.imore.com/how-google-story-chinese-hacking-became-attack-iphone-owners
(Je ne nourrirai plus ce thread 👋)
@Sgt. Pepper
Fin 2006, iphone et android n'existaient pas !
L'information la plus importante de cet article est que la faille a été corrigée.
"Google n'a pas réagi quant au piratage évoqué d'Android " ha bon ??? 🤣
(le club igen déconne mon intervention est inutile... oups)
Apple comme à son habitude est soit incompétent ou soit de mèche avec le gouvernement chinois. Le 2ème est plus que probable. La société a bouché la faille quand il a été démasqué comme pour l'affaire de la batterie.
Ballec ça fait longtemps que je me suis mis aux cartes postales 😂
@en chanson
Faux (lire mes messages précédents sur la chronologie)
Vrai si tu remplaces Apple par Google et Iphone par Android.
@J'en_crois Pas_mes yeux
Le fanboyisme tue ! 😜😜🥴🥴
@en chanson
Hors jeu :
Degré zéro de la... pensée.
Ahhh, un monde de paix 🙄
Des chinois qui en veulent à la terre entière, Google qui tape sur Apple...
Donc, après 15 jours de patacaisse, pas de quoi s’inquiéter pour ma petite utilisation lol. Je le savais mdr
Comment un malware peut-il s’installer depuis un site web et avoir accès à ces informations? Y’a un explicatif technique?
@mk3d
Via une série de failles.
En commençant par une faille dans le moteur web, ici de WebKit donc.
Chaque faille permet ensuite d'exploiter la suivante etc etc jusqu'à par finir par avoir suffisamment les mains libres d'accéder au contenu normalement protégé et sandboxé.
Une excellente analyse des cyber attaques contre les Uyghurs 😭
On voit bien qu’Android est largement exploité.
“Digital Crackdown: Large Scale Surveillance and Exploitation of Uyghurs”
https://www.volexity.com/blog/2019/09/02/digital-crackdown-large-scale-surveillance-and-exploitation-of-uyghurs/
ça fait couler beaucoup d'encre. Mais quand je lis "selon TechCrunch et Forbes"
puis Google, puis Apple, .. puis Microsoft.. puis le FBI ...
à prendre avec de grandes pincettes concernant les Ouïghours. L'espionnage mondial, qui n'est plus exclusif aux USA, leur fait tourner la tête.. Alors oui il y a des failles qui sont absolument à corriger, mais quant à savoir si elles étaient volontaires, et combien encore sont utilisées ..?..
Pages