Les chercheurs en sécurité chez Symantec ont découvert une nouvelle vulnérabilité dans iOS appelé « Trustjacking » exploité lorsque l’ordinateur demande l’autorisation d’accéder aux données de l’iPhone ou iPad.

Cette vulnérabilité a été découverte presque par accident, alors que certains chercheurs de Symantec chargeaient leurs iPhone. Selon Adi Sharabani, vice-président senior de Symantec pour la sécurité du système d’exploitation, lorsqu’un utilisateur autorise un ordinateur en chargeant l’appareil, « tout est possible ».

Cette vulnérabilité est le résultat d’une fonctionnalité iTunes qui vous permet de synchroniser des périphériques sans fil via le Wi-Fi. Cette fonctionnalité pourrait alors permettre à un attaquant de télécharger des données et des images à partir d’un périphérique sans que l’utilisateur s’en aperçoive, alors que l’ordinateur était évidemment autorisé par le passé. Une telle autorisation est souvent accordée sans trop de souci, même lorsqu’il ne s’agit pas de votre ordinateur.

Roy, l’un des chercheurs de Symantec, a découvert que son ordinateur pouvait accéder aux données de l’iPhone – en charge – d’un collègue qui avait accordé cette autorisation quelques semaines auparavant. Une fois confirmé, en effet, lorsque l’iPhone est en charge, il est toujours possible pour quelqu’un devant l’ordinateur d’accéder à certaines données et photos de l’appareil. Il est vrai que iOS 11 ajoute une couche supplémentaire de sécurité en exigeant un mot de passe lors de la connexion à un nouvel ordinateur.

Roy a alors commencé à enquêter pour savoir quelles opérations peuvent être effectuées lorsqu’un téléphone préalablement autorisé est en charge et connecté au même réseau Wi-Fi que l’ordinateur.

Par exemple, un attaquant pourrait installer des logiciels malveillants déjà préparés sur le téléphone ou lancer une sauvegarde pour collecter des données telles que des photos et des messages.

Si vous ne voulez pas prendre de risques, pour réinitialiser toutes les autorisations passées, vous devez aller dans Paramètres > Général > Réinitialiser et cliquer sur Réinitialiser localisation et confidentialité.

Partager un commentaire