Graves vulnérabilités au sein d’OS X et d’iOS
Six chercheurs ont identifié des vulnérabilités permettant à des applications malveillantes d’échapper au sandboxing d’Apple pour accéder aux données sensibles d’autres applications.
Le strict contrôle des applications installables sur des terminaux iOS et des Mac en entreprise apparaît plus que jamais indispensable, au moins jusqu’à ce qu’Apple corrige les vulnérabilités découvertes par six chercheurs.
Dans un rapport de recherche, ceux-ci indiquent ainsi avoir identifié « une série de vulnérabilités à impact élevé, qui permettent à une application sandboxée malicieuse, approuvée par le magasin applicatif d’Apple, d’accéder de manière illégitime aux données sensibles d’autres applications ».
En cause, les services d’interaction entre applications – « dont le trousseau [qui stocke les mots de passe enregistrés dans Safari, notamment, NDLR] et WebSocket sur OS X, et sur URL Scheme sur OS X et iOS [mécanisme qui permet d’ouvrir une application spécifique à partir d’un lien, NDLR] » qui peuvent être « exploités pour volet des informations confidentielles telles que les mots de passe pour iCloud, la messagerie électronique ou encore la banque, voire le jeton secret d’Evernote ».
Pour les chercheurs, le problème touche notamment au sandboxing conçu par Apple pour les applications, sur OS X et s’avère lié à « l’absence d’authentification d’application à application et d’applications vers le système d’exploitation ». Et d’avoir analysé « des centaines de binaires » pour découvrir que le problème est d’ampleur.
Las, selon les chercheurs, « ces problèmes risquent de ne pas être aisément corrigés ». Pour eux, « des interfaces pourraient devoir être fournies aux développeurs pour leur permettre de spécifier et de faire respecter leurs politiques individuelles ». Et de pointer notamment le trousseau « pour lequel l’OS n’est pas en position de décider si un ensemble d’attributs est requis pour qu’une application récupère un objet mais pas les autres ». Pire, « compte tenu de cette complexité, ces vulnérabilités sont probablement appelées à être présentes longtemps ». Une situation confirmée notamment par les auteurs du coffre-fort à mots de passe 1Password.
Alors, pour OS X, les chercheurs ont développé un outil qui détecte les tentatives d’exploitation de ces vulnérabilités « pour aider à protéger les applications vulnérables avant que le problème ne soit pleinement corrigé ».