Apple : Safari et Messages rendaient l’iPhone plus vulnérable

Dans un article long-format, le site américain Wired raconte comment la trop grande confiance qu'a Apple en ses propres produits a joué contre l'entreprise.

iOS est considéré comme un système d’exploitation extrêmement sûr, ce qui permet à Apple de mettre l’accent sur la confidentialité qu’offre ses iPhone. Cela est du autant à un excellent travail des développeurs en coulisse qu’à une fragmentation des OS moindre sur les smartphones d’Apple que sur ceux de la concurrence qui tournent sous différentes moutures d’Android. On apprenait cependant en juillet que des hackers pouvaient accéder au téléphone simplement en envoyant un SMS sur l’appareil visé, sans aucune intervention de l’utilisateur. Plus récemment encore, deux chercheurs du programme de bug hunting de Google ont découvert 6 failles dans iOS 12.3, toutes corrigées dans la version suivante de l’OS. L’une d’entre elles concernait iMessage, l’application de message d’Apple.

Des points d’entrée pour des attaques

Wired expliquait hier dans un long article la foi aveugle de la firme à la pomme en ses propres applications, qui finit par lui nuire. iMessage (Messages en français) à titre d’exemple est une “plateforme complexe” selon le site américain puisque l’application interagit avec les photos et vidéos, comprend des Animoji, bénéficie d’une intégration avec Apple Pay, iTunes et plus encore. Ces interconnexions rendent nécessairement l’application plus vulnérable aux attaques, comme l’a découvert la chercheuse du Project Zero Natalie Silvanovich. S’intéressant plus particulièrement à des failles permettant un accès aux données du téléphone sans intervention de l’utilisateur (interaction-less bugs), elle explorait les dangers d’un SMS spécialement conçu pour renvoyer des informations telles que des photos ou des vidéos lors d’une conférence Black Hat à Las Vegas au début du mois d’août.

Une confiance aveugle ?

“Peu importe la qualité du chiffrement si le programme a des failles” souligne-t-elle. Chercheuse expérimentée, elle a par le passé découvert des failles similaires dans WhatsApp, FaceTime et le protocole de vidéoconférence webRTC. Du côté de Safari, l’exigence d’Apple de baser l’ensemble des navigateurs web sur le moteur WebKit pour iOS, que ce soit pour Google Chrome, Firefox ou Opera, montre la confiance extrême de l’entreprise envers son propre code, bien qu’aucune produit n’est infaillible. Apple ne propose pas de bug bounty pour WebKit de la même manière que Google le fait pour Chrome et Amy Burnett, chercheuse en sécurité, estime que les bogues sont plus rapidement corrigés par Google. L’inconvénient d’utiliser une seule interface, WebKit, pour plusieurs applications, est qu’en cas de faille un problème affectera nécessairement davantage d’applications. L’introduction en 2018 des isolated heaps ou isoheaps avec les iPhone XS, XS Max et XR a cependant rendu impossible l’exploitation de bogues par comptage de référence (reference counting), l’un des points faibles de WebKit.