Trustjacking, une nouvelle vulnérabilité sur iOS ?

 

Les chercheurs en sécurité chez Symantec ont découvert une nouvelle vulnérabilité dans iOS appelé « Trustjacking » exploité lorsque l’ordinateur demande l’autorisation d’accéder aux données de l’iPhone ou iPad.

Cette vulnérabilité a été découverte presque par accident, alors que certains chercheurs de Symantec chargeaient leurs iPhone. Selon Adi Sharabani, vice-président senior de Symantec pour la sécurité du système d’exploitation, lorsqu’un utilisateur autorise un ordinateur en chargeant l’appareil, « tout est possible ».

Cette vulnérabilité est le résultat d’une fonctionnalité iTunes qui vous permet de synchroniser des périphériques sans fil via le Wi-Fi. Cette fonctionnalité pourrait alors permettre à un attaquant de télécharger des données et des images à partir d’un périphérique sans que l’utilisateur s’en aperçoive, alors que l’ordinateur était évidemment autorisé par le passé. Une telle autorisation est souvent accordée sans trop de souci, même lorsqu’il ne s’agit pas de votre ordinateur.

Roy, l’un des chercheurs de Symantec, a découvert que son ordinateur pouvait accéder aux données de l’iPhone – en charge – d’un collègue qui avait accordé cette autorisation quelques semaines auparavant. Une fois confirmé, en effet, lorsque l’iPhone est en charge, il est toujours possible pour quelqu’un devant l’ordinateur d’accéder à certaines données et photos de l’appareil. Il est vrai que iOS 11 ajoute une couche supplémentaire de sécurité en exigeant un mot de passe lors de la connexion à un nouvel ordinateur.

Roy a alors commencé à enquêter pour savoir quelles opérations peuvent être effectuées lorsqu’un téléphone préalablement autorisé est en charge et connecté au même réseau Wi-Fi que l’ordinateur.

Par exemple, un attaquant pourrait installer des logiciels malveillants déjà préparés sur le téléphone ou lancer une sauvegarde pour collecter des données telles que des photos et des messages.

Si vous ne voulez pas prendre de risques, pour réinitialiser toutes les autorisations passées, vous devez aller dans Paramètres > Général > Réinitialiser et cliquer sur Réinitialiser localisation et confidentialité.

 
  • 21367 Posts
  • 8356 Comments
Fondateur & Rédacteur
Aucun commentaire pour l’instant! Vous êtes le premier à commenter.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.