Une grave faille de sécurité Zero-day d'Apple expose à la fois les mots de passe Keychain et d'application aux attaquants

TL;DR – Des chercheurs en sécurité découvrent une grave exploitation Zero-day dans Mac OS X et iOS qui peut être exploitée pour voler les données des applications, les mots de passe et diverses autres informations d’identification.

Un groupe de six chercheurs en sécurité de l’Université de l’Indiana et de l’Institut de technologie de Géorgie a trouvé une grave faille de sécurité Zero-day d’Apple dans iOS ainsi que dans Mac OS X, qui permet aux logiciels malveillants d’accéder de manière non autorisée aux informations d’identification des applications du dispositif, aidant ainsi les attaquants à voler des données sensibles des utilisateurs telles que les mots de passe iCloud, l’application Mail et tous les mots de passe web stockés par Google Chrome. En résumé, cette exploitation exposera directement le Keychain d’Apple et d’autres applications, y compris celles de tiers.

Cette faille a été confirmée par Apple, Google Chrome et d’autres.

La recherche a été publiée dans un document intitulé Accès non autorisé aux ressources inter-applications sur MAC OS X et iOS. Les chercheurs impliqués étaient : Xing ; Xiaolong Bai ; XiaoFeng Wang ; et Kai Chen ont rejoint Tongxin Li, de l’Université de Pékin, et Xiaojing Liao, de l’Institut de technologie de Géorgie.

En parlant au bureau de sécurité de The Register, l’équipe a mentionné qu’elle avait porté cette vulnérabilité à l’attention d’Apple en octobre 2014. Ensuite, Apple a déclaré qu’elle comprenait la gravité de cette exploitation et a demandé à l’équipe de leur donner un délai de six mois pour traiter et fournir une solution à cette faille. Apple a également demandé aux chercheurs de ne pas divulguer cette faille publiquement tant qu’ils n’avaient pas résolu ce problème.

En février 2015, Apple a demandé à l’équipe de leur fournir une copie avancée de leur document de recherche. Malheureusement, l’équipe de recherche a confirmé que les failles étaient présentes même dans les dernières versions de Mac OS X ainsi que d’iOS et qu’ils devaient donc rendre cette vulnérabilité publique.

Xing a déclaré : « Nous avons complètement craqué le service Keychain – utilisé pour stocker des mots de passe et d’autres informations d’identification pour différentes applications Apple – et les conteneurs sandbox sur OS X, et avons également identifié de nouvelles faiblesses au sein des mécanismes de communication inter-applications sur OS X et iOS qui peuvent être utilisés pour voler des données confidentielles d’Evernote, Facebook et d’autres applications de haut niveau. »

Xing a ajouté : « Nos applications malveillantes ont réussi à passer le processus de validation d’Apple et ont été publiées sur le Mac App Store et l’App Store iOS d’Apple. Nous avons complètement craqué le service Keychain – utilisé pour stocker des mots de passe et d’autres informations d’identification pour différentes applications Apple – et les conteneurs sandbox sur OS X, et avons également identifié de nouvelles faiblesses au sein des mécanismes de communication inter-applications sur OS X et iOS qui peuvent être utilisés pour voler des données confidentielles d’Evernote, Facebook et d’autres applications de haut niveau. »

L’équipe de recherche a également mentionné que malgré la forte validation d’Apple, ils ont pu télécharger des logiciels malveillants qui exploitaient les vulnérabilités sur les magasins d’applications Mac OS X et iOS. Il semble que ces applications vulnérables à l’attaque aient été approuvées pour les deux systèmes d’exploitation.

Le groupe a également testé l’exploitation sur un large éventail d’applications Mac et iOS et le résultat était terrible car il a montré qu’environ 90 % des applications étaient vulnérables et qu’il donnait un accès complet aux logiciels malveillants, non seulement en ce qui concerne les données stockées mais aussi aux informations d’identification de connexion.

Le développeur de l’application 1Password, AgileBits, a accepté qu’il n’avait trouvé aucun moyen de protéger l’application contre l’exploitation. Un récent article de blog de Jeffrey Goldberg d’AgileBit dit : « Ni nous ni Luyi Xing et son équipe n’avons pu trouver un moyen complètement fiable de résoudre ce problème. »

Selon le groupe de recherche en sécurité, l’équipe de sécurité de Google Chromium a été plus réactive et a supprimé l’intégration Keychain pour Chrome. L’équipe de sécurité de Google Chrome a également confirmé que lorsque l’attaque est à un niveau d’application, il serait presque impossible de se protéger contre l’exploitation.

Le groupe de recherche en sécurité a également publié une vidéo qui expose la vulnérabilité Keychain de Google Chrome sur OS X. (regardez la vidéo ci-dessous)

En réponse au post de The Register, l’un des commentaires sur Hacker News suggère que bien que le logiciel malveillant ne puisse pas accéder directement aux entrées Keychain existantes ; cependant, il peut forcer les utilisateurs à se connecter manuellement et ensuite capturer les informations d’identification sensibles dans une nouvelle entrée créée, obtenant ainsi indirectement un accès non autorisé aux données sensibles des utilisateurs.

Les chercheurs en sécurité ont également déclaré : « Les éléments Keychain ont des listes de contrôle d’accès, où ils peuvent mettre sur liste blanche des applications, généralement seulement elles-mêmes. Si mon application bancaire crée un élément Keychain, le logiciel malveillant n’aura pas accès. Mais le logiciel malveillant peut supprimer et recréer des éléments Keychain, et ajouter à la fois lui-même et l’application bancaire à la LCA. La prochaine fois que l’application bancaire a besoin d’informations d’identification, elle me demandera de les saisir à nouveau, puis les stockera dans l’élément Keychain créé par le logiciel malveillant. »

Les chercheurs en sécurité avertissent tous les utilisateurs de Mac OS X et iOS d’être plus prudents chaque fois qu’ils téléchargent des applications de développeurs inconnus, que ce soit depuis les App Stores iOS et Mac. De plus, dans le cas où une connexion doit être effectuée par Keychain et si le système demande toujours aux utilisateurs de se connecter manuellement, cela devrait déclencher une alarme et alerter les utilisateurs qu’il y a quelque chose de mal dans le système.

Plus tôt ce mois-ci, une vulnérabilité Mac BIOS/EFI a été révélée, où l’exploitation donnerait un contrôle permanent d’un Mac à l’attaquant et un reformatage du disque n’aiderait pas l’utilisateur à empêcher l’attaquant d’accéder et de contrôler le Mac.

Une autre vulnérabilité détectée ce mois-ci était un bug dans l’application Mail iOS qui pourrait probablement être une attaque de phishing où un attaquant exécuterait un code HTML à distance chaque fois qu’un utilisateur ouvre un e-mail et avec ce code, l’attaquant pourrait imiter une invite de connexion iCloud, forçant ainsi les utilisateurs à fournir leurs informations d’identification Apple ID.

Les chercheurs en sécurité disent qu’en règle générale, il est essentiel que les utilisateurs ne permettent jamais à leur navigateur ou à un gestionnaire de mots de passe de stocker les connexions sensibles telles que les informations d’identification de banque en ligne.

Les chercheurs en sécurité mentionnent également : « Les conséquences de telles attaques sont dévastatrices, conduisant à la divulgation complète des informations utilisateur les plus sensibles (par exemple, les mots de passe) à une application malveillante même lorsqu’elle est sandboxée. De telles découvertes […] ne sont que la partie émergée de l’iceberg. »

Dans leur document, les chercheurs ont mentionné : « En examinant la cause profonde de ces failles de sécurité, nous avons constaté que dans la plupart des cas, ni le système d’exploitation ni l’application vulnérable n’authentifient correctement la partie avec laquelle ils interagissent. Fondamentalement, le problème vient du défi pour une application d’authentifier le propriétaire d’un élément Keychain existant. Apple n’offre pas de moyen pratique de le faire. »