Une faille PDF compromet l'iPhone

Partenaires & Liens

Apple

À peine plus d'un mois après la sortie de l'iPhone 4, un outil permettant de le jailbreaker est disponible depuis hier. Plus que jamais, il remet en question la sécurité des produits Apple, déjà fortement critiqué ces derniers temps...

En effet, si le jailbreak a toujours été basé sur des failles de sécurité, toutes les techniques de jailbreak sur les appareils récents nécessitaient l'exécution de code sur un ordinateur physiquement connecté à l'iPhone. Il s'agissait donc de failles qui ne pouvaient être exploitées que dans des conditions qui ne sont pas les conditions normales d'utilisation.

Mais pour ce nouveau jailbreak, aucune connexion physique à un ordinateur n'est nécessaire. Ce nouveau jailbreak exploite en effet une faille de sécurité du navigateur Safari Mobile, provoquée par un bug au niveau de la gestion des polices lors de l'affichage d'un fichier PDF. Ainsi, le jailbreak est possible simplement en visitant une page web.

Si cette faille fait le bonheur des amateurs de jailbreak, elle est toutefois relativement inquiétante, puisqu'un site web malintentionné pourrait l'exploiter pour rendre un iPhone inutilisable, la frontière entre un simple jailbreak et une compromission totale du système étant simplement la volonté de celui qui réalise l'opération : si le code s'exécute avec un niveau de privilèges suffisant pour jailbreaker, il a la main sur l'ensemble du système pour y effectuer toutes les opérations malicieuses possibles et imaginables (récupération de données personnelles, appel de numéros surtaxés, effacement de données ou des fichiers systèmes...).

Apple devrait donc cette fois ci prendre la menace un peu plus au sérieux, et donc proposer rapidement un correctif, relançant ainsi le jeu du chat et de la souris avec la communauté du jailbreak, qui devra s'activer à trouver une nouvelle porte d'entrée.