Un écart de zéro jour dans iOS lit les données personnelles de l’iPhone
Apple Exécutez un programme de primes aux bogues qui propose de payer les personnes qui détectent et signalent la sécurité et d’autres vulnérabilités. Cependant, il ne semble pas toujours faire ce qu’on lui dit.
Le développeur russe Denis Tokarev déclare avoir signalé quatre vulnérabilités dans iOS Apple Un seul d’entre eux est censé être fermé dans iOS 14.7 entre mars 2021 et mai 2021.Il a également affirmé Apple Ses conclusions n’ont jamais été mentionnées dans les notes de sécurité fournies avec la mise à jour, et elles n’ont pas non plus été mentionnées dans les notes de sécurité fournies avec les mises à jour ultérieures, malgré sa promesse de le faire. lis:
Apple Publiez des mises à jour de sécurité critiques pour bloquer les logiciels espions.
Trois sont encore ouvertes, selon ceux qui ont découvert les lacunes. Frustré qu’Apple n’ait pas répondu, il a maintenant publié des exemples de code sur Github, et les utilisateurs de Twitter ont confirmé l’existence de la vulnérabilité.
🚨 « Toute application installée à partir de l’App Store peut accéder aux données suivantes sans invite de l’utilisateur : » pic.twitter.com/hXpfqlgnDa
– Kosta Eleftheriou (@keleftheriou) 24 septembre 2021
L’écart qui n’a pas été comblé concerne le Game Center d’Apple. Apparemment, un processus en arrière-plan dans iOS ne vérifie pas que l’application est autorisée à exécuter toutes les fonctions de Game Center. Cela pourrait amener n’importe quelle application installée à demander des informations sur l’utilisateur à Game Center. Le système peut alors accéder aux données suivantes : Apple ID et nom; Liste de contacts de Mail, SMS, iMessage et autres applications de messagerie; Liste de favoris et leurs numéros de téléphone dans l’application Contacts, base de données complète et photo de contact dans l’application Contacts.
Une autre lacune, également active sur iOS 15, pourrait permettre à toute application installée de commencer à demander si une autre application est installée sur l’appareil concerné et de recevoir une réponse.
Une troisième vulnérabilité, qui n’a pas été fermée, permettrait aux applications disposant d’autorisations de localisation d’obtenir des informations Wi-Fi telles que les SSID.
iOS 14.7 comble la quatrième lacune. Avant iOS 14.7, la vulnérabilité signifiait que chaque application installée pouvait obtenir toutes les informations d’analytics, c’est-à-dire de l’évaluation des plantages par iOS, etc.
Apple Collectez différentes données de santé telles que la fréquence cardiaque, le cycle mensuel, le sexe et l’âge de l’utilisateur. Ces données ne sont évaluées qu’avec l’autorisation de l’utilisateur – vous accédez à Paramètres > Confidentialité > Analyses et améliorations > Santé et activité, Dossiers de santé, Lavage des mains et Fauteuils roulants. À cette fin, ces bases de données peuvent contenir des informations sur les plantages d’applications, le temps d’écran sur l’appareil, la langue des pages ouvertes dans Safari, etc.
Étant donné que ces vulnérabilités sont connues depuis des heures, il n’existe pas encore de protection contre elles.Il ne peut qu’être conseillé de ne pas installer d’applications inconnues à temps jusqu’à ce que Apple Fermez l’échappatoire.
Pour en savoir plus sur la sécurité de l’iPhone, lisez : Conseils de sécurité pour iPhone : comment protéger votre téléphone contre les pirates.
Cet article a été initialement publié sur Macwelt. Traduit par Karen Haslam.