Unc0ver, une équipe de pirates informatiques, a publié un nouvel outil de jailbreak pour presque tous les iPhone, y compris les modèles les plus récents, en utilisant la vulnérabilité connue sur l’identifiant CVE-2021-1782. Les cybercriminels ont publié l’outil permettant d’installer des applications non approuvées par Apple ce week-end, tout en relevant qu'il s’utilise sur le matériel fonctionnant sur iOS 11 à iOS 14.3.
Les responsables du projet CVE (Common Vulnerabilities and Exposures) définissent une vulnérabilité logicielle comme étant une faille dans le code du logiciel, lorsqu'elle est exploitée, elle a un impact négatif sur la confidentialité, l'intégrité ou la disponibilité de la cible. Dans un tweet, les pirates ont déclaré avoir exploité la faille identifiée par la CVE-2021-1782, une vulnérabilité du noyau qui, selon Apple, est l'une des trois failles qui « peuvent avoir été activement exploitées » par les pirates. En ciblant le noyau, les pirates sont capables de compromettre profondément le système d'exploitation.
Rappelons que, le Jailbreaking fait référence à l'escalade des privilèges sur un appareil Apple afin de supprimer les restrictions logicielles imposées par Apple sur les systèmes d'exploitation iOS, iPadOS, tvOS, watchOS, bridgeOS et audioOS. Il se fait généralement par le biais d'une série de correctifs du noyau et permet l'accès à la racine du système d'exploitation et offre la possibilité d'installer des logiciels non disponibles sur l'App Store iOS. Apple a toujours considéré le « jailbreaking » comme une violation de l'accord de licence utilisateur final et met fortement en garde les propriétaires d'appareils contre toute tentative d'accès à son système d’exploitation (OS) par l'exploitation des vulnérabilités.
En août 2019, Apple a intenté une action en justice contre Corellium, une entreprise qui fournit les frameworks d'un simulateur iOS utilisé par les chercheurs en sécurité. Dans sa plainte, Apple a allégué que la société de logiciels a copié le système d'exploitation, l'interface utilisateur graphique et d'autres aspects des appareils sans autorisation. Elle accuse Corellium d'avoir agi sous prétexte d'aider à découvrir des bugs dans le système d'exploitation de l'iPhone, mais de vendre ensuite l'information « sur le marché libre au plus offrant ».
Dans une décision de justice, un juge fédéral de Floride a rejeté les allégations d'Apple selon lesquelles Corellium avait violé la loi sur les droits d'auteur avec son logiciel qui aide les chercheurs en sécurité à trouver des bogues et des failles de sécurité sur les produits Apple. « En prenant en compte tous les facteurs nécessaires, la Cour conclut que Corellium s’est acquitté de son fardeau d’établir une utilisation équitable, a écrit le juge Rodney Smith dans son verdict. Ainsi, son utilisation d'iOS en relation avec le produit Corellium est autorisée. »
À chaque mise à jour de son OS, Apple améliore son système afin de corriger les failles et ainsi de freiner les hackers. Les spécialistes en sécurité déconseillent généralement aux utilisateurs d'iPhone de recourir à des "jailbreaks", car cela rend l'appareil plus vulnérable aux attaques. L'atténuation des vulnérabilités dans ce contexte implique généralement des modifications du code, mais peut également inclure des changements de spécification ou même des dépréciations de spécifications.
Apple a corrigé la vulnérabilité pour l’iOS 14.4 publié le mois dernier, ce qui empêche également la faille de sécurité d’être exploitée sur les versions ultérieures. Il est difficile de voir les systèmes Apple être attaqués par des pirates informatiques. Apple travaille pour comprendre et corriger les vulnérabilités découvertes par les groupes jailbreak, car ces mêmes vulnérabilités peuvent être exploitées de manière malveillante.
Et vous ?
Quel est votre avis sur le Jailbreaking ?
Voir aussi
Vous pouvez désormais jailbreaker votre iPhone à partir d'un appareil Android, voici comment faire
Le jailbreak checkra1n a réussi à déplomber la puce de sécurité Apple T2, qui équipe les Mac
Apple cible le jailbreaking dans un procès contre Corellium, une société de virtualisation iOS, pour violation de droit d'auteur
Apple perd son procès contre Corellium, une société qui propose la virtualisation d'iOS utilisée par les chercheurs en sécurité. Le fabricant d'iPhone l'a accusé d'avoir violé son droit d'auteur
Des pirates informatiques lancent un nouvel outil de jailbreak exploitable sur presque tous les iPhone
En exploitant une vulnérabilité dans le noyau du système
Des pirates informatiques lancent un nouvel outil de jailbreak exploitable sur presque tous les iPhone
En exploitant une vulnérabilité dans le noyau du système
Le , par Bruno
Une erreur dans cette actualité ? Signalez-nous-la !