Aurich Lawson | Getty Images
Apple a publié plusieurs mises à jour de sécurité cette semaine pour corriger une vulnérabilité « FORCEDENTRY » sur les appareils iOS. La vulnérabilité « zéro clic, jour zéro » a été activement exploitée par Pegasus, une application de logiciel espion développée par la société israélienne NSO Group, qui a été connu pour cibler militants, journalistes et personnalités du monde entier.
Suivie sous le nom CVE-2021-30860, la vulnérabilité nécessite peu ou pas d’interaction de la part d’un utilisateur d’iPhone pour être exploitée, d’où le nom « FORCEDENTRY ».
Découvert sur l’iPhone d’un activiste saoudien
En mars, des chercheurs du Citizen Lab ont décidé d’analyser l’iPhone d’un activiste saoudien anonyme qui a été ciblé par le logiciel espion Pegasus de NSO Group. Ils ont obtenu une sauvegarde iTunes de l’appareil et un examen du vidage a révélé 27 copies d’un mystérieux fichier GIF à divers endroits, sauf que les fichiers n’étaient pas des images.
Il s’agissait de fichiers Adobe Photoshop PSD enregistrés avec une extension « .gif » ; les chercheurs perspicaces ont déterminé que les fichiers ont été « envoyés au téléphone juste avant qu’il ne soit piraté » avec le logiciel espion Pegasus.
« Malgré l’extension, le fichier était en fait un fichier Adobe PSD de 748 octets. Chaque copie de ce fichier provoquait un IMTranscoderAgent crash sur l’appareil », ont expliqué les chercheurs dans leur rapport.
Parce que ces accidents ressemblaient à comportement vus auparavant par les mêmes chercheurs sur les iPhones piratés de neuf militants bahreïnis, les chercheurs soupçonnaient que les GIF faisaient partie de la même chaîne d’exploitation. Quelques autres faux GIF étaient également présents sur l’appareil ; ils étaient considérés comme des fichiers Adobe PDF malveillants avec des noms de fichiers plus longs.
« Le Citizen Lab a divulgué la vulnérabilité et le code à Apple, qui a attribué la vulnérabilité FORCEDENTRY CVE-2021-30860 et décrit la vulnérabilité comme ‘le traitement d’un PDF conçu de manière malveillante peut conduire à l’exécution de code arbitraire' », ont expliqué les auteurs du rapport.
Les chercheurs affirment que la vulnérabilité a été exploitée à distance par le groupe NSO depuis au moins février 2021 pour infecter les derniers appareils Apple avec le logiciel espion Pegasus.
Apple publie plusieurs mises à jour de sécurité
Hier, Apple a publié plusieurs sécurité mises à jour pour corriger CVE-2021-30860 sur les appareils macOS, watchOS et iOS. Apple affirme que la vulnérabilité peut être exploitée lorsqu’un appareil vulnérable analyse un PDF malveillant et accorde à un attaquant des capacités d’exécution de code.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a écrit Apple dans l’un des avis, ne libérant aucune autre information sur la façon dont la faille pourrait être exploitée.
Les utilisateurs d’iPhone et d’iPad doivent installer les dernières versions du système d’exploitation, iOS 14.8 et iPadOS 14.8, pour corriger la faille. Les utilisateurs de Mac doivent effectuer une mise à niveau vers Catalina 2021-005 ou macOS Big Sur 11.6. Les utilisateurs d’Apple Watch devraient obtenir watchOS 7.6.2. Toutes les versions antérieures aux versions corrigées sont à risque.
Une autre vulnérabilité d’exécution de code arbitraire dans le navigateur Safari a été signalée par un chercheur anonyme. Suivie comme CVE-2021-30858, la vulnérabilité d’utilisation après utilisation gratuite a également été corrigée par un mettre à jour publié dans Safari 14.1.2.
« Nous portons tous des appareils personnels hautement sophistiqués qui ont de profondes implications pour la vie privée. Il existe de nombreux exemples de [these risks], comme la collecte de données d’applications – qu’Apple a récemment décidé de freiner avec son Transparence du suivi des applications framework », a déclaré à Ars Jesse Rothstein, CTO et co-fondateur de la société de sécurité réseau ExtraHop. « Tout système suffisamment sophistiqué présente des vulnérabilités de sécurité qui peuvent être exploitées, et les téléphones portables ne font pas exception. »
« Pegasus montre comment des vulnérabilités inconnues peuvent être exploitées pour accéder à des informations personnelles hautement sensibles », a déclaré Rothstein. « Le groupe NSO est un exemple de la façon dont les gouvernements peuvent essentiellement externaliser ou acheter des cybercapacités militarisées. À mon avis, ce n’est pas différent du trafic d’armes – ce n’est tout simplement pas réglementé de cette façon. Les entreprises vont toujours devoir corriger leurs vulnérabilités, mais les réglementations aideront à empêcher que certaines de ces cyber-armes ne soient utilisées à mauvais escient ou ne tombent entre de mauvaises mains. »
Source link
