Apple réagit suite à la révélation de 2 failles zéro-day

Apple a repoussé les allégations selon lesquelles deux failles zero-day dans son système d’exploitation iOS étaient exploités depuis plusieurs années, affirmant n’avoir trouvé aucune preuve soutenant ces affirmations.

Les responsables d’Apple ont fait cette déclaration en réponse à un rapport largement diffusé par ZecOps, qui affirmait que deux vulnérabilités zero-day de l’iOS d’Apple affectant son application Mail sur iPhone et iPad étaient exploitées depuis 2018 par des cybercriminels.”

“Les deux vulnérabilités existent au moins depuis iOS 6 – (date de publication: septembre 2012) – lorsque l’iPhone 5 a été lancé”, a déclaré ZecOps dans son rapport.

Cependant, Apple a déclaré dans un communiqué destiné au correspondant Apple de Bloomberg, Mark Gurman, que ce qu’il avait publié sur Twitter n’était tout simplement pas vrai.

“Nous avons étudié de manière approfondie le rapport du chercheur et, en se basant sur les informations fournies, nous avons conclu que ces problèmes ne posaient pas de risque immédiat pour nos utilisateurs”, a indiqué la société dans le communiqué.

apple

Selon les chercheurs de ZecOps, il y avait un certain nombre de cibles dans les attaques exploitant les failles. Parmi les personnes touchées figuraient des «individus faisant partis d’une des 500 plus riches organisations en Amérique du Nord» ainsi que des cadres d’un «transporteur» basé au Japon.

Les autres personnes ciblées par des attaques sont: un VIP d’Allemagne qui a géré des prestataires de services de sécurité d’Arabie saoudite et d’Israël et un journaliste en Europe. Le cadre d’une entreprise suisse est également soupçonné d’avoir été visé, ont indiqué des chercheurs.

ZecOps a déclaré avoir identifié pour la première fois un comportement suspect associé aux vulnérabilités le 19 février 2020. Après avoir travaillé en étroite collaboration avec l’un de leurs clients concernés, le 23 mars, la première vulnérabilité d’écriture hors limite (OOB) a été identifiée dans le rapport.

Le 31 mars, les chercheurs ont identifié la deuxième faille, une vulnérabilité de débordement de tas à distance. Le même jour, ils ont partagé leurs recherches avec Apple. Les 15 et 16 avril, Apple a commencé à mettre à disposition un patch pour atténuer les failles de sécurité de son logiciel bêta accessible au public. Le 22 avril, les chercheurs ont rendu public leurs résultats.

Apple a déjà patché les 2 failles

Apple a déjà corrigé les deux vulnérabilités dans la version bêta d’iOS 13.4.5, distribuée la semaine dernière, et a déclaré dans son communiqué «ces problèmes potentiels seront bientôt résolus dans une mise à jour logicielle, faisant référence à la sortie imminente et attendue d’iOS 13.4.5.

iOS 13 apple

Apple n’a pas répondu aux allégations de ZecOps selon lesquelles ils avaient travaillé avec l’entreprise pour identifier les failles, mais a souligné qu’ils dépendent d’efforts conjoints avec des chercheurs en sécurité pour identifier les failles dans ses produits afin de garantir la sécurité des utilisateurs.

“Nous apprécions notre collaboration avec les chercheurs en sécurité pour aider à assurer la sécurité de nos utilisateurs et nous créditerons les chercheurs pour leur aide”, a déclaré la société dans le communiqué.

ZecOps a reconnu qu’Apple avait corrigé les failles dans la dernière version bêta d’iOS 13, mais a affirmé que «les appareils sont toujours vulnérables jusqu’à ce que la version finale d’iOS 13.4.5 soit facilement accessible à tous les propriétaires d’appareils iOS».

“Entre-temps, la seule atténuation de ces défauts est de désactiver tous les comptes de messagerie connectés à l’application iOS Mail et d’utiliser une autre application, telle que Microsoft Outlook ou GMail de Google”, a écrit Narang.

Comme décrit par l’équipe ZecOps, les deux failles sont exploitables à distance par les attaquants qui envoient simplement un e-mail à l’application iOS Mail des victimes sur leur iPhone ou iPad, permettant aux pirates d’accéder à distance aux données des iPhones ciblés

La faille peut également donner accès aux messages associés à l’application de messagerie par défaut d’Apple et peut être déclenchée avant le téléchargement de l’intégralité de l’e-mail, de sorte que le contenu de l’e-mail ne restera pas nécessairement sur l’appareil, selon les chercheurs.

En outre, la vulnérabilité permet aux pirates d’accéder à distance aux données des iPhones ciblés utilisant la version d’iOS la plus récente, ainsi qu’ aux messages associés à l’application de messagerie par défaut d’Apple, ont-ils déclaré.

Si cet article vous a plu, jetez un œil à notre article précédent.