- Actualités
- >cybersécurité
Avertissement aux utilisateurs d’iPhone : Une technique d’altération post-exploitation menace la sécurité
- , Publié le 5 décembre 2023
- , à23 h 15 min
Une nouvelle « technique d’altération post-exploitation » peut être utilisée par des acteurs malveillants pour tromper visuellement une cible en lui faisant croire que son Apple iPhone fonctionne en mode verrouillage alors que ce n’est pas le cas, et pour mener des attaques secrètes.
Cette nouvelle méthode, décrite par Jamf Threat Labs dans un rapport transmis à The Hacker News, « montre que si un pirate s’est déjà infiltré dans votre appareil, il peut faire en sorte que le mode verrouillage soit « contourné » lorsque vous en déclenchez l’activation ».
En d’autres termes, l’objectif est de mettre en œuvre un faux mode de verrouillage sur un appareil compromis par un attaquant par d’autres moyens, tels que des failles de sécurité non corrigées qui peuvent déclencher l’exécution d’un code arbitraire.
Le mode verrouillage, introduit par Apple l’année dernière avec iOS 16, est une mesure de sécurité renforcée qui vise à protéger les personnes à haut risque contre les menaces numériques sophistiquées telles que les logiciels espions mercenaires en minimisant la surface d’attaque.
Ce qu’il ne fait pas, c’est empêcher l’exécution de charges utiles malveillantes sur un appareil compromis, ce qui permet à un cheval de Troie déployé sur l’appareil de manipuler le mode de verrouillage et de donner aux utilisateurs une illusion de sécurité.
« Dans le cas d’un téléphone infecté, il n’existe aucune mesure de protection pour empêcher le logiciel malveillant de fonctionner en arrière-plan, que l’utilisateur active ou non le mode verrouillage », ont déclaré Hu Ke et Nir Avraham, deux chercheurs en sécurité.
Le faux Lockdown Mode est réalisé en accrochant des fonctions – par exemple setLockdownModeGloballyEnabled, lockdownModeEnabled et isLockdownModeEnabledForSafari – qui sont déclenchées lors de l’activation du paramètre de manière à créer un fichier appelé « /fakelockdownmode_on » et à lancer un redémarrage de l’espace utilisateur, qui met fin à tous les processus et redémarre le système sans toucher au noyau.
Cela signifie également qu’un logiciel malveillant implanté sur l’appareil sans aucun mécanisme de persistance continuera d’exister même après un tel redémarrage et espionnera subrepticement ses utilisateurs. De plus, un adversaire pourrait modifier le mode de verrouillage du navigateur web Safari afin de permettre la visualisation de fichiers PDF, qui sont autrement bloqués lorsque le paramètre est activé.
« Depuis iOS 17, Apple a élevé le mode de verrouillage au niveau du noyau », ont déclaré les chercheurs. « Cette décision stratégique constitue un grand pas en avant dans le renforcement de la sécurité, car les modifications apportées par le Lockdown Mode au niveau du noyau ne peuvent généralement pas être annulées sans un redémarrage du système, grâce aux mesures d’atténuation de la sécurité existantes. »
La divulgation de Jamf intervient près de quatre mois après la démonstration d’une autre méthode inédite sur iOS 16 qui pourrait être utilisée de manière abusive pour passer inaperçue et conserver l’accès à un appareil Apple en faisant croire à la victime que le mode avion de son appareil est activé.
