C'est un article pour le moins alarmiste que publie The Register après la mise en ligne des travaux de recherche de six universitaires. Des vulnérabilités 0-day dans les systèmes d'exploitation d'Apple permettraient de casser le gestionnaire de mots de passe d'OS X (keychain), la protection sandbox des applications et passer outre les contrôles de sécurité de l'App Store. Rien que ça…

Apple invitation logo En exploitant les vulnérabilités actuellement non corrigées, des attaquants pourraient notamment voler en toute discrétion les mots de passe de n'importe quelle application installée (en lien avec keychain) et y compris le client de messagerie natif d'Apple et pour iCloud.

Les attaques ou failles sont de type dit XARA pour Unauthorized Cross-App Resource Access. Si certaines sont spécifiques au système d'exploitation de l'ordinateur Mac, celui de l'iPhone n'est pas sauf pour autant. Des failles ont en effet été identifiées dans le mécanisme de communication entre les applications sur OS X et iOS.

" Les conséquences de ces attaques sont très graves ", selon les chercheurs qui soulignent les fuites de mots de passe des utilisateurs, des tokens secrets (jetons d'authentification) et divers documents sensibles. D'après eux, la racine du problème vient de l'absence d'authentification lors des interactions entre les applications et avec le système.

Une analyse conduite sur 1 612 applications populaires pour Mac et 200 applications pour iOS a trouvé que plus de 88,6 % sont exposées aux attaques XARA.

L'autre problème est que la firme à la pomme a été informée de la trouvaille des chercheurs en octobre 2014 et a demandé un délai de six mois pour résoudre les soucis. Le délai a été amplement dépassé et les chercheurs ont décidé de publier leurs travaux.

Si le papier des universitaires est exact - pas de raison d'en douter a priori - et en attendant la réponse d'Apple, cela veut dire qu'il est possible de concevoir un malware et de le faire entrer dans l'App Store, ainsi que de lancer des attaques pour voler des données parmi les plus sensibles. Et le sandboxing des applications n'y change rien.

Source : The Register