iOS : la sécurité de l'AppStore vole une nouvelle fois en éclat
Un chercheur a réussi à faire valider une application lui permettant d'exécuter du code à distance sur les terminaux iOS.
La porte aux trojans et autres malwares est ouverte dans l'AppStore. Sérieux argument d'Apple en matière de sécurité des applications sur ses terminaux iOS, surtout face à Android, la vigilance des tests de conformité des logiciels disponibles sur iPhone et iPad a été contournée une nouvelle fois. Cette fois-ci, c'est Charlie Miller, connu pour avoir déjà déniché une dizaine de vulnérabilités dans les OS d'Apple, qui est à l'origine de l'application "Proof of Concept".
En septembre dernier, son application InstaStock a en effet été acceptée dans la boutique en ligne d'Apple, elle a donc passé les tests assez opaques qu'Apple réserve aux application soumises. Elle était décrite comme permettant de suivre les cours de bourse en direct. Mais en fait, elle permettait aussi tout simplement à Charlie Miller d'exécuter du code à distance sur les iPhone ou iPad qui l'avaient installé. Une vidéo montre comment il pouvait ainsi subtiliser le carnet d'adresse d'un tiers, faire vibrer le téléphone, récupérer son historique (appel, messagerie vocale) ou lancer une vidéo à distance. Charlie Miller est le premier chercheur à révéler une telle vulnérabilité critique, exploitable à distance dans les terminaux iOS.
Au cours des quatre dernières années, Charlie Miller estime avoir alerté Apple une douzaine de fois au sujet des vulnérabilités qu'il avait découvertes. Il n'a jamais reçu un centime d'Apple. Quelques heures après avoir divulgué ce nouvel exploit, Charlie Miller a reçu un courriel l'informant qu'Apple le congédier de sa communauté de développeurs pour violation d'une clause contractuelle par laquelle il avait convenu qu'il n'allait pas "cacher, dénaturer ou occulter des fonctionnalités, contenus, services dans les applications soumises". Apple, qui doit très bientôt sortir une mise à jour mineure de son iOS, n'a pas indiqué si la faille découverte par Charlie Miller allait être corrigée.