Des chercheurs en sécurité Google ont découvert un certain nombre de sites Web malveillants qui peuvent pirater l’iPhone. Ces derniers exploitent une série de bugs logiciels iOS inconnus jusqu’à récemment.
Dans un article de blog officiel, les membres de Project Zero de Google ont publié le compte rendu complet de cette découverte. D’ajouter que des sites malveillants étaient visités des milliers de fois par semaine par des victimes sans méfiance. Les attaques ont été définies comme « aveugles » et dureraient depuis plusieurs années.
Voici ce qu’un des chercheurs a déclaré : « Il suffit de visiter le site Web malveillant pour exploiter le piratage et attaquer l’iPhone. Si l’attaque réussit, un logiciel malveillant de surveillance continue est installé sur l’appareil. » Les chercheurs confirment que ces sites Web ont piraté des milliers d’iPhone pendant au moins deux ans.
Au total, Project Zero a découvert cinq différents bugs exploitant 12 problèmes de sécurité, dont sept impliquaient directement Safari sur l’iPhone. Les cinq autres exploits permettent aux attaquants d’avoir un accès « root » au périphérique, pratiquement le niveau de privilège le plus élevé possible sur iPhone. Cela signifie que le pirate peut avoir accès à toutes les fonctions de l’appareil, même celles normalement interdites à l’utilisateur. Ainsi, le pirate informatique pourrait, par exemple, installer des applications malveillantes pour espionner le propriétaire de l’iPhone à son insu.
Google a indiqué que, sur la base de son analyse, ces vulnérabilités seraient exploitées pour voler des photos et des messages de différents utilisateurs, mais également pour suivre leur position en temps réel. De plus, les pirates ont probablement accédé à Keychain sur iOS, où tous nos mots de passe sont stockés. La vulnérabilité de sécurité est présente d’iOS 10 à iOS 12.
Google a divulgué ces vulnérabilités à Apple en privé, en février, ce qui lui donnait 90 jours pour réparer les bugs et proposer une mise à jour corrective aux utilisateurs. Peu de temps après, Apple a publié iOS 12.1.4 et il est probable que cette version a corrigé tous les problèmes (pour le moment, nous ne savons toutefois pas pourquoi Apple n’a publié aucune déclaration à ce sujet).
Le conseil est de mettre à jour vos appareils dès que possible avec la dernière version d’iOS disponible.
