La vulnérabilité a été détaillée par les chercheurs en sécurité de ZecOps. Même si elle sera corrigée dans iOS 13.4.5 – actuellement en bêta – ils estiment que les utilisateurs doivent être mis au courant, car le colmatage prochain pourrait pousser les pirates à intensifier leur campagne.
Car la faille est très sérieuse : il suffit qu’un email spécialement construit soit envoyé dans la boite de réception pour qu’elle soit activée. Sur iOS 12, l’utilisateur doit l’ouvrir, mais pas sur iOS 13, le traitement automatique étant détourné. Exploitée, la brèche permet un contrôle total du smartphone à distance.
La faille serait exploitée depuis au moins deux ans et aurait déjà fait de nombreuses victimes selon ZecOps, dont un opérateur japonais, une « grande entreprise américaine », des entreprises technologiques en Arabie Saoudite et Israël, un particulier en Allemagne et un journaliste en Europe.
ZecOps indique que d’autres clients comme Gmail et Outlook ne sont pas vulnérables. Il est recommandé de ne plus utiliser Mail le temps que la faille soit bouchée.
Les chercheurs ajoutent que le malware lui-même est difficile à obtenir, les mails le contenant ayant été effacés. Ils espèrent que la publication de l’avertissement motivera Apple à diffuser plus rapidement iOS 13.4.5, qu’il faudra donc installer rapidement.
Commentaires (22)
#1
Pardon ? Ça aurait été plus compliqué d’écrire « faille » ou « vulnérabilité » plutôt que cet imbécile « fail » ?
#2
C’est sans doute une erreur, que tu aurais pu signaler via le triangle en bas de page plutôt que de poster un tel message agressif.
#3
Pardon ? Ça aurait été plus compliqué d’écrire avec respect ou bienveillance , plutôt que cet imbécile commentaire ?
#4
C’est vrai. Mais c’est une accumulation, là… Voir https://twitter.com/cliquetv/status/1253029440772345856
#5
C’est pas nouveau la novlangue. Cependant là il s’agit probablement d’une erreur. En tout cas 2 ans pour réagir de la part d’Apple ! C’est ENORME.
#6
C’est clairement une erreur, car il est bien question d’une faille ici, et non d’un fail (quoique…).
#7
La gentillesse, la politesse, le respect toussa toussa …
#8
Il n’y a que faille qui Maille.
#9
NextInpact ne font pas de politique…
#10
Ca fait deux ans qu’elle serait (au conditionnel) exploitée, mais pas pour autant 2 ans qu’Apple est au courant… Connais-tu le principe des vulnérabilités 0-day ?
Si tu regardes la source, dans la section “Disclosure Timeline”, ils ont pris contact avec Apple concernant cette vulnérabilité le 19 février dernier.
#11
#12
Et notre DSI qui ne considère que les ibidules comme smartphone d’entreprise, pour des raisons de “”“sécurit锓”
#13
C’est présent depuis ios6, qu’on essaie pas de nous faire croire que la CIA, la NSA ou apple n’en avait aucune connaissance. C’est ptête même une commande d’une des 2 agences auprès d’apple qui a finit dans les mains de “vilains méchants”.
Le malware faisant déjà le nettoyage après son arriver pour restez le plus discret possible, c’est l’outil parfait pour leurs opérations d’espionnage. ios 13 étant la cerise sur le gâteaux avec l’automatisation, ya juste à envoyer le sms pendant que la victime dort et ya aucune traces visible de quoique ce soit.
#14
Le mail pas le sms*
" />
#15
Dommage, on a manqué le Jailbreak Mail…
" />
#16
#17
#18
#19
#20
Je sais, mais c’est relou à faire héhé.
#21
En allant voir la source c’est pas clair non plus. La faille existe depuis 2 ans, y’aurait eu des cas mais… personne a réagi ou pigé. Donc probable que Apple n’a pas été mis au courant oui.
#22