Une équipe d’experts en sécurité affirme avoir découvert une « nouvelle classe » de vulnérabilités qui pourraient permettre aux attaquants de contourner les mesures de sécurité du géant de la technologie Apple dans iOS et macOS pour accéder aux données sensibles des utilisateurs.
Les vulnérabilités ont des cotes CVSS (Common Vulnerability Scoring System) comprises entre 5,1 et 7,1 et une gravité allant de moyenne à sévère. Les logiciels malveillants et les exploits peuvent être en mesure d’accéder à des données personnelles telles que les messages d’un utilisateur, les informations de localisation, l’historique des appels et les images en exploitant ces failles.
Les conclusions de Trellix s’alignent sur les travaux antérieurs de Google et Citizen Lab, qui , en 2021, a identifié une nouvelle vulnérabilité zero-day appelée ForcedEntry qui a été exploitée par le fabricant israélien de logiciels espions NSO Group pour pirater à distance et secrètement des iPhones sous la direction de ses clients gouvernementaux.
Afin d’empêcher l’utilisation de l’attaque, Apple a par la suite amélioré ses défenses de sécurité de l’appareil en incluant de nouvelles mesures d’atténuation de signature de code qui confirment de manière cryptographique que le logiciel de l’appareil est fiable et n’a pas été modifié. Trellix, cependant, a affirmé que les mesures d’atténuation d’Apple étaient insuffisantes pour arrêter des attaques similaires.
Dans un article de blog, Trellix a écrit que les derniers problèmes affectaient NSPredicate, un programme qui permet aux programmeurs de filtrer le code. Suite au bogue ForcedEntry, Apple a renforcé les limites sur NSPredicate en utilisant le protocole NSPredicateVisitor. Néanmoins, Trellix a affirmé que presque toutes les implémentations de NSPredicateVisitor pourraient être évitées.
Cependant, Apple aurait résolu ces problèmes avec iOS 16.3 et macOS 13.2, et les utilisateurs devraient mettre à jour leurs iPhones et MacBooks pour rester en sécurité.
Les experts en sécurité ont signalé que coreduetd, un logiciel qui recueille des informations sur le comportement des utilisateurs sur l’appareil, était la première vulnérabilité qu’ils ont découverte dans cette nouvelle classe de failles.
L’envoi d’un NSPredicate malveillant et l’exécution de code avec les privilèges de ce processus est possible pour un attaquant avec l’exécution de code dans un processus avec les droits nécessaires, tels que Messages ou Safari. Le calendrier, le carnet d’adresses et les images de l’utilisateur sont accessibles à l’attaquant grâce à un processus qui s’exécute en tant que root sur macOS, ont déclaré les chercheurs.