mercredi, novembre 9 2011

Une faille de sécurité grave dans les iPhone

apple.gif Charlie Miller, expert en sécurité connu entre autres choses pour avoir piraté un macbook en quelques secondes ou pris le contrôle d'un iPhone via un SMS, vient de se faire exclure du programme de développeurs d'Apple pour au moins un an, dit la firme.

Pourquoi ? Il a utilisé une application, qui a été autorisée par Apple, pour démontrer l'existence d'une faille de sécurité d'iOS, qui lui a permet de prendre contrôle à distance d'un iPhone. Apple n'a pas apprécié.

Son application, Instastock, ne contient pourtant aucun code malveillant, et n'utilise pas de commande interdite aux applications tierces, c'est là tout le problème, et cela explique que l'app ait bien été validée.

L'auteur l'explique plus en détail et revient sur la questino des signatures de code (codesigning), ici remises en causes :

La validation des applications ne suffit pas à assurer la sécurité des téléphones, et Charlie Miller l'évoquera prochainement dans une conférence sur la sécurité. En attendant, il a adressé quelques noms d'oiseaux à Apple via Twitter, pour son exclusion du programme de développement, qui n'est certainement pas une solution au problème. Apple a pourtant été prévenu trois semaines auparavant, sans précision sur le vecteur (ici une application). En attendant, les versions 4.3 à 5 sont touchées, et Apple planche sur une mise à jour.

Toujours sur Twitter, le chef des relations avec les développeurs pour Windows Phone, lui a proposé un compte déverloppeur pour Windows Phone gratuit, avec force ricanements ici et là chez les lecteurs.

jeudi, avril 21 2011

Tous les iPhones et les iPad 3G vous espionnent

s-ancien-logo-apple.jpg

Les Iphones et les iPad 3G sous iOS 4, disposeraient d'une base de données cachée qui enregistrerait à intervalle régulier votre position géographique.

Ce fichier caché qui contiendrait la liste de latitudes, de longitudes et dates ce qui permettrait de retracer vos déplacements jusqu'à un an.

Et en plus, ce fichier contiendrait également d'autres données comme le nom de votre opérateur et la qualité du signal détectée par votre appareil.

Et le meilleur pour terminer, ce fichier ne serait pas crypté.

Du côté vie privé, Apple ne marque pas de bons points et ce refuse à tous commentaires concernant ce fichier caché

home2.gifPlus d'infos sur sur le sujet

home2.gif voir aussi ceci en anglais

mercredi, août 4 2010

Faille critique pour l'iPhone et l'iPad

apple.gif Des failles de sécurité avérées ont été découvertes sur l'iPhone et l'iPad. Un fichier PDF piégé permet en effet de prendre le contrôle de l'appareil, et de le contrôler à distance, installer des programmes, effacer des fichiers, transmettre des données. C'est l'avis de 3 entreprises de sécurité citées par Reuteurs : Symantec, Lookout et Vupen, cette dernière évoquant deux failles.

La prise en charge des PDF par Safari mobile est en cause ici, par ailleurs sa fonction d'ouverture automatique des documents PDF facilite les choses pour les pirates. A l'origine, c'est JailbreakMe, l'outil de déblocage de l'iPhone, qui a permis de se rendre compte de la faille, car il l'exploite pour fonctionner.

Apple a lancé une enquête, on attend donc une mise à jour d'iOS, les versions iOS 3.1.2 sont concernés, l'iPod touch également, qui embarque cet OS.

En attendant un correctif le mieux à faire est de ne pas consulter de documents PDF via Safari Mobile, en dehors de sources parfaitement fiables.

Article de Reuters
Le bulletin de sécurité de Vupen

- page 1 de 9