Deux failles majeures découvertes dans l’application Mail d’Apple — IOS

Une faille de sécurité rend Apple Mail vulnérable aux piratages

iPhone : Une faille critique découverte sur l’application mail d’Apple

ZecOps, agence de sécurité californienne, annonçait ce mercredi avoir identifié deux failles critiques dont une exploitable sans intervention de l'utilisateur.

D'ici quelques semaines, une mise à jour rectificative sera proposée sur tous les iPhone supportant iOS 13.

iOS 13.4.5 est actuellement en bêta. Cependant, les chercheurs notent que la combinaison de ces failles avec une vulnérabilité du noyau non corrigée fournirait à un cybercriminel un accès complet à l'appareil, bien que ces informations n'aient pas encore été identifiées. Pour que l'infection touche votre iPhone, il suffit que celui-ci télécharge le mail du serveur IMAP ou POP de votre boite mail.

Pour exécuter le piratage, Avraham a déclaré que les victimes recevraient un message électronique apparemment vierge via l'application Mail, forçant un crash et une réinitialisation.

Bill Marczak, chercheur en sécurité au Citizen Lab, un groupe de recherche universitaire canadien sur la sécurité, a qualifié la découverte de vulnérabilité de "effrayante".

Cette faille n'est pas nouvelle puisqu'elle existe depuis au minimum deux ans. ZecOps avait déclaré que des cibles anonymes incluaient un cadre d'un opérateur de téléphonie mobile au Japon et des individus des sociétés Fortune 500 en Amérique du Nord.

Vous l'aurez compris, cette faille de grosse ampleur peut avoir de grave conséquences.

" Plusieurs failles Zero-Day iOS dans l'application Apple Mail, récemment révélées, sont activement exploitées et méritent qu'on s'y attarde". Utilisée sur la dernière version d'iOS, cette faille fonctionne même si l'utilisateur n'ouvre pas le message. "Les versions antérieures à iOS 6 peuvent également être vulnérables, mais nous ne l'avons pas vérifié".

Les personnes qui ont été infectées ont toutes déclarées que l'application "Mail" d'Apple devait très lente à certains moments, mais pas en permanence!

Un (gros) souci avec Mail sur iOS?

Les attaques ayant échoué ne seraient pas visibles sur iOS 13 si une autre attaque est effectuée par la suite et supprime l'e-mail. L'attaque sera déclenchée avant le rendu du contenu.

ZecOps promet pour sa part de fournir toutes les preuves d'intrusion en sa possession lorsque Apple aura déployé sa mise à jour de sécurité.

Dernières nouvelles