Apple a publié plusieurs mises à jour de sécurité cette semaine pour corriger une vulnérabilité “FORCEDENTRY” sur les appareils iOS. La vulnérabilité « zéro clic, jour zéro » a été activement exploitée par Pegasus, une application de logiciel espion développée par la société israélienne NSO Group, connue pour cibler des militants, des journalistes et des personnalités du monde entier.
Suivie sous le nom CVE-2021-30860, la vulnérabilité nécessite peu ou pas d’interaction de la part d’un utilisateur d’iPhone pour être exploitée, d’où le nom « FORCEDENTRY ».
Il s’agissait de fichiers Adobe Photoshop PSD enregistrés avec une extension « .gif » ; les chercheurs perspicaces ont déterminé que les fichiers ont été “envoyés au téléphone juste avant qu’il ne soit piraté” avec le logiciel espion Pegasus.
“Malgré l’extension, le fichier était en fait un fichier Adobe PSD de 748 octets. Chaque copie de ce fichier provoquait un IMTranscoderAgent crash sur l’appareil”, ont expliqué les chercheurs dans leur rapport.
Parce que ces crashs ressemblaient à des comportements précédemment observés par les mêmes chercheurs sur les iPhones piratés de neuf militants bahreïnis, les chercheurs ont suspecté que les GIF faisaient partie de la même chaîne d’exploit. Quelques autres faux GIF étaient également présents sur l’appareil ; ils étaient considérés comme des fichiers Adobe PDF malveillants avec des noms de fichiers plus longs.
“Le Citizen Lab a divulgué la vulnérabilité et le code à Apple, qui a attribué la vulnérabilité FORCEDENTRY CVE-2021-30860 et décrit la vulnérabilité comme ‘le traitement d’un PDF conçu de manière malveillante peut conduire à l’exécution de code arbitraire'”, ont expliqué les auteurs du rapport.
Les chercheurs affirment que la vulnérabilité a été exploitée à distance par le groupe NSO depuis au moins février 2021 pour infecter les derniers appareils Apple avec le logiciel espion Pegasus.
Hier, Apple a publié plusieurs mises à jour de sécurité pour corriger CVE-2021-30860 sur les appareils macOS, watchOS et iOS. Apple affirme que la vulnérabilité peut être exploitée lorsqu’un appareil vulnérable analyse un PDF malveillant et accorde à un attaquant des capacités d’exécution de code.
“Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité”, a écrit Apple dans l’un des avis, ne publiant aucune autre information sur la manière dont la faille pourrait être exploitée.
Les utilisateurs d’iPhone et d’iPad doivent installer les dernières versions du système d’exploitation, iOS 14.8 et iPadOS 14.8, pour corriger la faille. Les utilisateurs de Mac doivent effectuer une mise à niveau vers Catalina 2021-005 ou macOS Big Sur 11.6. Les utilisateurs d’Apple Watch devraient obtenir watchOS 7.6.2. Toutes les versions antérieures aux versions corrigées sont menacées.
Une autre vulnérabilité d’exécution de code arbitraire dans le navigateur Safari a été signalée par un chercheur anonyme. Suivie sous le nom CVE-2021-30858, la vulnérabilité d’utilisation après utilisation gratuite a également été corrigée par une mise à jour publiée dans Safari14.1.2.
« Nous portons tous des appareils personnels hautement sophistiqués qui ont de profondes implications pour la vie privée. Il existe de nombreux exemples de [these risks], comme la collecte de données d’applications – qu’Apple a récemment décidé de freiner avec son cadre de transparence de suivi des applications “, a déclaré à Ars Jesse Rothstein, CTO et co-fondateur de la société de sécurité réseau ExtraHop. ” Tout système suffisamment sophistiqué présente des vulnérabilités de sécurité qui peuvent être exploités, et les téléphones portables ne font pas exception.”
« Pegasus montre comment des vulnérabilités inconnues peuvent être exploitées pour accéder à des informations personnelles hautement sensibles », a déclaré Rothstein. « Le groupe NSO est un exemple de la façon dont les gouvernements peuvent essentiellement externaliser ou acheter des cybercapacités militarisées. À mon avis, ce n’est pas différent du trafic d’armes – ce n’est tout simplement pas réglementé de cette façon. Les entreprises vont toujours devoir corriger leurs vulnérabilités, mais les réglementations aideront à empêcher que certaines de ces cyber-armes ne soient utilisées à mauvais escient ou ne tombent entre de mauvaises mains.”