Des sites Web malveillants ont discrètement piraté des iPhones pendant des années, selon Google

Google révèle que des sites Web malveillants ont été secrètement utilisés pour pirater des iPhones pendant des années

Des chercheurs en sécurité de Google ont découvert une série de sites Web piratés qui livraient des logiciels malveillants conçus pour pirater des iPhones pendant une période d’au moins deux ans. Ces sites Web, qui étaient visités des milliers de fois par semaine, étaient utilisés pour attaquer de manière extensive leurs visiteurs utilisant une vulnérabilité zero-day sur iPhone.

Il suffisait de visiter un site Web pour permettre aux pirates de recueillir discrètement des contacts, des images et d’autres données d’un iPhone d’utilisateur.

« Au début de cette année, le groupe d’analyse des menaces (TAG) de Google a découvert une petite collection de sites Web piratés. Les sites piratés étaient utilisés dans des attaques indiscriminées de watering hole contre leurs visiteurs, utilisant un zero-day sur iPhone », a écrit Ian Beer, de Project Zero de Google, dans un article de blog publié jeudi.

« Il n’y avait pas de discrimination de cible ; il suffisait de visiter le site piraté pour que le serveur d’exploitation attaque votre appareil, et si cela réussissait, installe un implant de surveillance. Nous estimons que ces sites reçoivent des milliers de visiteurs par semaine », a ajouté le post.

Plus tôt cette année, le groupe d’analyse des menaces (TAG) de Google avait découvert l’opération de piratage secrète lorsqu’il est tombé sur les sites piratés.

Au cours de son enquête, le TAG de Google a trouvé un total de 14 vulnérabilités iOS à travers les cinq chaînes d’exploitation : sept pour le navigateur Web de l’iPhone, cinq pour le noyau et deux échappements de bac à sable distincts, dont l’un était un zero-day. Le groupe a trouvé cinq chaînes d’exploitation couvrant « presque toutes les versions d’iOS 10 à iOS 12 ».

La plupart des failles de sécurité ont été trouvées dans Safari, le navigateur Web par défaut sur les appareils Apple, a noté Beer. Les iPhones affectés vont de l’iPhone 5s à l’iPhone X.

Selon Google, une fois que le logiciel malveillant était installé avec succès sur l’iPhone d’un utilisateur, l’implant pouvait accéder à une énorme quantité de données, y compris les iMessages, les photos et la localisation GPS en temps réel. De plus, il avait également accès au trousseau d’accès des utilisateurs d’iPhone, une fonctionnalité responsable du stockage sécurisé des mots de passe et des bases de données d’applications de messagerie chiffrées de bout en bout comme iMessage.

Le logiciel malveillant renvoyait les données volées, y compris les données de localisation en direct de l’utilisateur, à un « serveur de commandement et de contrôle » toutes les 60 secondes et relayait ces informations à un serveur externe toutes les 60 secondes.

L’implant pouvait également recueillir des données d’applications de messagerie chiffrées comme Instagram, Telegram et WhatsApp – et même d’applications Google comme Gmail et Hangouts.

Heureusement, le logiciel malveillant est dit non persistant, ce qui signifie qu’il est nettoyé d’un iPhone infecté lors du redémarrage. Dans un tel scénario, les « attaquants peuvent néanmoins être en mesure de maintenir un accès persistant à divers comptes et services en utilisant les jetons d’authentification volés du trousseau, même après avoir perdu l’accès à l’appareil », note Beer.

Puisque l’implant n’est pas enregistré sur les appareils Apple, il peut à nouveau fournir un accès aux pirates lorsque le propriétaire visite un « site compromis », a averti Beer.

Google avait informé Apple des attaques en février, pour lesquelles Apple a ensuite publié un correctif de sécurité pour iOS 12.1.

« Nous avons signalé ces problèmes à Apple avec un délai de 7 jours le 1er février 2019, ce qui a entraîné la publication hors bande d’iOS 12.1.4 le 7 février 2019 », a déclaré Beer.

Apple a divulgué les résultats de Google dans un document de support accompagnant.

Afin de garantir que votre appareil Apple est protégé contre la faille, nous vous recommandons de vérifier si votre appareil exécute la version la plus à jour d’iOS. La mise à jour la plus récente actuellement disponible est iOS 12.4.1.