Apple est actuellement en plein déploiement de iOS 14.4 et iPad OS 14.4 ; la mise à jour de l'OS doit corriger différentes vulnérabilités, actuellement exploitées par des hackers malintentionnés.
L'entreprise déploie donc une mise à jour du système sur les iPhone à partir de l'iPhone 6S, sur les iPad à partir de l'iPad Air 2, sur les iPad Mini 4 et 5 ainsi que sur l'iPod Touch de 4e génération.
Trois vulnérabilités exploitées
Le premier apport d'iOS 14.4 est une mise à jour du kernel. Or, dans un document de support, la firme de Cupertino explique en toute transparence qu'une application malveillante peut passer outre le mode Sandbox et obtenir des privilèges plus élevés. « Ce problème est actuellement exploité de manière active », précise Apple.
L'entreprise corrige aussi deux autres failles affectant cette fois le moteur de rendu WebKit utilisé entre autres par le navigateur Safari. Lorsqu'elles sont exploitées, le hacker est en mesure d'exécuter du code à distance sur l'appareil concerné. Selon Apple ces failles sont aussi exploitées activement.
Ces trois vecteurs d'attaques ont été identifiés puis reportés par un chercheur resté anonyme. Apple promet plus de détails par la suite.
Il s'agit d'une situation délicate pour l'entreprise, qui a l'habitude de communiquer très largement sur la sécurité de son système et notamment de son navigateur internet. Rappelons que l'entreprise demande désormais à tous les éditeurs de l'App Store de mentionner clairement les données utilisateur collectées au travers de leurs applications.
Pour mettre à jour votre iPhone ou votre iPad, rendez-vous dans Paramètres > Général > Mise à jour. À noter que la société n'informe pas directement les utilisateurs de ces problèmes.
iOS est régulièrement la cible d'attaques
Malgré les efforts d'Apple sur le secteur de la sécurité, ce n'est pas la première fois que l'on découvre des vulnérabilités au sein d'iOS.
Au mois de décembre, le cabinet d'expert Citizen Labs avait repéré du code malveillant avec la présence d'un malware baptisé Kismet. Ce dernier avait été mis au point par le groupe NSO travaillant pour le compte de gouvernement. Il ciblait notamment les journalistes et les dissidents.
En 2016, NSO avait d'ailleurs développé un malware similaire baptisé Pegasus, capable de lire tous les messages, d'activer les microphones ou encore l'appareil photo des iPhone à distance.
Source : Apple