Pendant des années, Apple a renforcé les systèmes de sécurité sur iPhone et Mac. Mais aucune entreprise n’est à l’abri de tels problèmes. La recherche révèle une nouvelle classe de bogues qui peuvent affecter les systèmes d’exploitation iPhone et Mac d’Apple et, s’ils sont exploités, pourraient permettre à un attaquant de balayer vos messages, vos photos et l’historique des appels.
Des chercheurs du centre de recherche avancée de la société de sécurité Trellix publient aujourd’hui les détails d’un bogue qui pourrait permettre à des pirates informatiques de sortir des protections de sécurité d’Apple et d’exécuter leur propre code non autorisé. L’équipe affirme que les failles de sécurité qu’elle a trouvées – qu’elles classent comme étant de gravité moyenne à élevée – contournent les protections qu’Apple avait mises en place pour protéger les utilisateurs.
“L’élément clé ici est que les vulnérabilités brisent le modèle de sécurité d’Apple à un niveau fondamental”, déclare Doug McKee, directeur de la recherche sur les vulnérabilités chez Trellix. McKee dit que trouver la nouvelle classe de bogues signifie que les chercheurs et Apple pourront potentiellement trouver plus de bogues similaires et améliorer les protections de sécurité globales. Apple a corrigé les bugs trouvés par la société, et rien ne prouve qu’ils aient été exploités.
Les découvertes de Trellix s’appuient sur des travaux antérieurs de Google et de Citizen Lab, un centre de recherche de l’Université de Toronto. En 2021, les deux organisations ont découvert ForcedEntry, un exploit iOS zéro clic et zéro jour qui était lié au fabricant israélien de logiciels espions NSO Group. (L’exploit, décrit comme hautement sophistiqué, a été trouvé sur l’iPhone d’un activiste saoudien et utilisé pour installer le malware Pegasus de NSO.)
L’analyse de ForcedEntry a montré qu’elle impliquait deux parties clés. Le premier a amené un iPhone à ouvrir un fichier PDF malveillant déguisé en GIF. La deuxième partie a permis aux attaquants d’échapper au bac à sable d’Apple, qui empêche les applications d’accéder aux données stockées par d’autres applications et d’accéder à d’autres parties de l’appareil. Les recherches de Trellix, menées par le chercheur principal en vulnérabilité Austin Emmitt, se concentrent sur cette deuxième partie et ont finalement utilisé les failles qu’il a trouvées pour contourner le bac à sable.
Plus précisément, Emmitt a découvert une classe de vulnérabilités qui tournent autour de NSPredicate, un outil capable de filtrer le code dans les systèmes d’Apple. NSPredicate a été abusé pour la première fois dans ForcedEntry, et à la suite de cette recherche en 2021, Apple a introduit de nouvelles façons d’arrêter l’abus. Cependant, ceux-ci ne semblent pas avoir été suffisants. “Nous avons découvert que ces nouvelles mesures d’atténuation pouvaient être contournées”, déclare Trellix dans un article de blog décrivant les détails de ses recherches.
McKee explique que les bogues de cette nouvelle classe NSPredicate existaient à plusieurs endroits sur macOS et iOS, y compris dans Springboard, l’application qui gère l’écran d’accueil de l’iPhone et peut accéder aux données de localisation, aux photos et à l’appareil photo. Une fois les bogues exploités, l’attaquant peut accéder à des zones censées être fermées. Une vidéo de preuve de concept publiée par Trellix montre comment les vulnérabilités peuvent être exploitées.
La nouvelle classe de bogues “apporte un éclairage sur un domaine que les gens n’avaient pas étudié auparavant parce qu’ils ne savaient pas qu’il existait”, déclare McKee. “Surtout avec ce contexte d’entrée forcée parce que quelqu’un à ce niveau de sophistication exploitait déjà un bogue dans cette classe.”
Fondamentalement, tout attaquant essayant d’exploiter ces bogues aurait besoin d’un pied initial dans l’appareil de quelqu’un. Ils auraient dû trouver un moyen d’entrer avant de pouvoir abuser du système NSPredicate. (L’existence d’une vulnérabilité ne signifie pas qu’elle a été exploitée.)
Apple a corrigé les vulnérabilités NSPredicate trouvées par Trellix dans ses mises à jour logicielles macOS 13.2 et iOS 16.3, qui ont été publiées en janvier. Apple a également publié des CVE pour les vulnérabilités découvertes : CVE-2023-23530 et CVE-2023-23531. Depuis qu’Apple a corrigé ces vulnérabilités, il a également publié de nouvelles versions de macOS et iOS. Ceux-ci comprenaient des correctifs de sécurité pour un bogue qui était exploité sur les appareils des utilisateurs. Assurez-vous de mettre à jour votre iPhone, iPad et Mac chaque fois qu’une nouvelle version du système d’exploitation est disponible.
