Ins0mnia : la faille iOS qui permet à une application de fonctionner en tâche de fond sans interruption
même si l'utilisateur la ferme

Les chercheurs en sécurité de FireEye ont découvert une vulnérabilité dans iOS qui permet à une application malveillante de fonctionner en permanence en arrière-plan, même si elle est complètement fermée par l’utilisateur.

Que se passe-t-il concrètement ? Tout d’abord, il faut comprendre de quelle manière Apple protège ses utilisateurs en contrôlant la façon dont les applications tierces interagissent avec iOS. Une application iOS peut tourner en arrière-plan sur une période en général limitée à trois minutes avant qu’elle ne soit suspendue par iOS. En plus d’assurer une réactivité prévisible dans l’interaction avec un utilisateur, cette limitation permet également d’empêcher une application d’amorcer une opération d’écoute en arrière-plan. Par exemple, même si une application de musique légitime a des raisons légitimes de demander des permissions d’accès à la localisation GPS ainsi qu’au microphone (à l’instar de Shazam), peu d’utilisateurs vont vouloir que l’application s’exécute en arrière-plan pour surveiller la géolocalisation et effectuer des enregistrements audio. Ce contrôle par iOS est donc supposé prévenir de tels abus des autorisations accordées.

Lorsqu’un utilisateur sort d’une application en appuyant sur la touche Home, l’application va en arrière-plan et est sujette à des restrictions, au même titre que celle citée en sus, imposées par iOS sur les applications qui s’exécutent en arrière-plan. Un utilisateur peut décider de complètement la fermer en l’enlevant de la barre de tâche iOS qui est une interface qui montre à l’utilisateur la liste des applications récemment ouvertes.

C’est donc ici qu’est la faille. Baptisée ins0mnia, elle permet de contourner ces limitations. Une application malveillante pourrait donc s’exécuter en arrière-plan et subtiliser des informations sensibles, qui pourraient alors être envoyées de façon continue vers un serveur, sans que l’utilisateur n’en soit informé sur une période de temps illimitée.

L’attaque consiste à faire croire au système que l’application est en mode débogage afin qu’il n’arrête pas son exécution lorsque le temps maximal d’exécution en arrière-plan est atteint. Une application qui exploite cette vulnérabilité va continuer de s’exécuter en arrière-plan même lorsque l’utilisateur croira qu’il l’a fermée complètement. Voici une vidéo montrant une application malveillante iOS qui l’exploite.


Les chercheurs précisent que « contrairement aux applications malveillantes qui tournent sur des appareils jailbreakés ou qui nécessitent un certificat Enterprise, un malware hypothétique basé sur ins0mnia n’a besoin de rien pour obtenir l’autorisation d’Apple. Nous pensons qu’une telle application a une très forte probabilité de passer entre les mailles du filet de l’examen d’Apple Store, ce qui en fait une échappatoire rare pour un attaquant qui souhaite déployer son logiciel malveillant dans le jardin clos d’Apple ». Cette faille a été corrigée dans la mise à jour iOS 8.1.4

Source : FireEye

forum iOS