Apple a publié une mise à jour de sécurité critique pour les iPhones afin de corriger un bug zero-day dans iOS 16 qui pourrait permettre aux attaquants d’installer à distance des logiciels espions sur un appareil sans aucune interaction de la part du propriétaire de l’iPhone. Citizen Lab, un groupe de recherche sur les logiciels espions, a découvert l’exploit la semaine dernière et en a immédiatement informé Apple.
L’exploit Zero-Click Zero Day avait été utilisé pour installer le logiciel espion Pegasus du groupe ONG sur un iPhone appartenant à un employé d’une organisation de la société civile basée à Washington DC. Pegasus est un logiciel espion développé par un entrepreneur privé destiné à être utilisé par des agences gouvernementales. Le logiciel espion infecte un téléphone et renvoie des données, notamment des photos, des messages et des enregistrements audio/vidéo.
L’exploit implique des pièces jointes PassKit envoyées via iMessage
Apple a publié iOS 16.6.1 quelques jours seulement après la découverte de cet exploit et il est crucial pour les propriétaires d’iPhone d’installer cette mise à jour, même s’ils ne sont pas susceptibles d’être ciblés par des logiciels espions. De nombreux groupes sont encore disposés à procéder à l’ingénierie inverse des mises à jour de sécurité iOS pour tenter de découvrir comment exploiter cette nouvelle vulnérabilité, augmentant ainsi le risque d’attaques plus larges.
Citizen Lab n’a pas fourni une analyse complète de la vulnérabilité pour des raisons évidentes, mais l’exploit implique PassKit – le cadre derrière Apple Pay et Wallet – des pièces jointes chargées d’images malveillantes envoyées via iMessage. « Nous prévoyons de publier une discussion plus détaillée sur la chaîne d’exploitation à l’avenir », déclare Citizen Lab.
Les vulnérabilités iOS ont régulièrement fait la une des journaux ces dernières années, en particulier celles qui ont été activement exploitées avant qu’Apple ne se rende compte de la faille de sécurité. Apple a même développé un système Rapid Security Response qui peut ajouter des correctifs de sécurité à un iPhone sans avoir besoin de redémarrer l’appareil.
Surtout, Citizen Lab affirme que le mode de verrouillage d’Apple peut protéger les utilisateurs contre ce dernier exploit. Par conséquent, si vous risquez d’être ciblé par un logiciel espion parrainé par l’État, cela vaut la peine d’activer ce mode.
Entertainment
