Des failles de sécurité sur iOS et OSX permettent d’intercepter les mots de passe
en déjouant le mécanisme d’isolation des applications des systèmes

Un groupe de six chercheurs aux USA vient de dévoiler des vulnérabilités dans le mécanisme de sécurité des systèmes d’exploitation iOS et OSX. Elles permettent d’infiltrer les systèmes OSX et iOS de sorte à voler les mots de passe ainsi que les jetons de plusieurs applications.

Pour y arriver, les chercheurs ont mis au point une application malveillante tournant dans le bac à sable d’iOS et OSX. En principe, les systèmes d’exploitation s’entourent de plusieurs couches de sécurité, dont l’isolation des applications, afin d’offrir à celles-ci des privilèges bien définis pour qu’elles ne puissent pas accéder à des ressources non autorisées ou effectuer des tâches non désirées. C’est ce mécanisme qui a été testé et s’est avéré permissif au malware conçu par les chercheurs.

Ces derniers sont parvenus à installer l’application malicieuse sur Apple Store sans déclencher les alertes de sécurité mises en place pour préserver l’intégrer de l’ensemble de la plateforme. À partir de ce malware, les chercheurs ont pu communiquer avec les autres applications alors que les mesures de sécurité en vigueur telles que le sandbox (bac à sable) de l’App Store devraient l’empêcher.

En fin de compte, les services d’interaction entre les différentes applications tels que le trousseau, le schéma d’URL déclenchant l’appel des applications à partir d’une URL sur iOS ont affiché des failles qui permirent aux chercheurs de voler des informations confidentielles telles que les mots de passe d’iCloud.


Par ailleurs, les six chercheurs sont également parvenus à détecter dans la foulée une faille du bac à sable entourant les applications sur OSX. Selon les scientifiques, cette vulnérabilité permet au malware conçu par leurs soins d’accéder aux répertoires privés des applications. Cet accès ouvre la porte au piratage de l’identifiant Apple utilisé comme mot de passe maitre pour tous les autres produits requérant un mot de passe Apple.

Par exemple sur Mac OSX 10.10.3, l’application malveillante fonctionnant dans le bac à sable a réussi à obtenir à partir du trousseau du système, les mots de passe et les jetons secrets pour l’iCloud, l’email, les réseaux sociaux ainsi que les mots de passe Gmail et de banque enregistrés par Google Crhrome.

De même, les données des utilisateurs de l’application Evernote comme les notes et les contacts ainsi que les photos de l’application WeChat ont toutes été dévoilées.

Les chercheurs précisent que ces failles seraient dues au manque d’authentification entre les différentes applications et entre les applications et le système d’exploitation. En effet, dans la plupart des expériences menées, les applications ainsi que le système n’exigent pas véritablement une authentification de l’application qui interagit avec eux.

Pour mieux apprécier l’ampleur de la menace, un analyseur a été conçu pour inspecter automatiquement les binaires des applications Apple. Sur 1 612 applications Mac et 200 applications iOS, il se trouve que 88,6 % des applications supposées utiliser le mécanisme de vérification d’Apple sont exposées aux accès non autorisés de ressources des applications à partir d’autres applications.

Vu le risque élevé des menaces, Apple a été immédiatement saisi, de même que les propriétaires des applications vulnérables. Aucun patch n’a encore été sorti pour corriger ce problème. En attendant, les chercheurs ont mis au point un programme pour détecter les tentatives d’exploit sur OSX afin d’aider à protéger les applications vulnérables.

Source : Rapport des chercheurs (PDF)

Et vous ?

Qu'en pensez-vous ? De quoi remettre en cause la sécurité des OS d'Apple ?