La mise à jour d’iOS en 10.3 ne se limite pas à la seule disponibilité du système de fichiers APFS (Apple File System) en lieu et place du classique HFS+. La nouvelle occurrence de l’OS mobile corrige également nombre de vulnérabilité dont une faille majeure particulièrement perturbante.
Un comportement similaire aux ransomwares qui chiffrent les fichiers stockés et ne les rendent à nouveau lisibles que contre paiement. A la différence que, dans le cas de Safari, un simple effacement de l’historique de navigation suffisait à supprimer le problème, rapporte Lookout. Le code d’attaque étant stocké au niveau du bac à sable du navigateur, il est facile de s’en débarrasser. Aucun contenu n’étant chiffré, les cyber-criminels jouaient simplement sur la peur de l’utilisateur pour tenter de le rançonné (d’où le qualificatif de « scareware » à l’agent malveillant). L’éditeur de sécurité avait identifié ce scareware grâce à un utilisateur victime et remonté le problème à Cupertino il y a un mois.
Selon Lookout, ce type d’escroquerie a été écrit pour d’anciennes versions d’iOS, iOS 8 notamment. « Cependant, l’abus de pop-ups dans Safari Mobile était toujours possible jusqu’à iOS 10.3 », indique la société de sécurité. Qui ajoute que « iOS 10.3 ne verrouille pas l’ensemble du navigateur avec ces pop-up, mais il s’exécute sur une base d’onglets de navigation de sorte que si un onglet se comporte mal, l’utilisateur peut le fermer et/ou passer à un autre ». Malgré la facilité avec laquelle il est possible de mettre fin à ce type de désagrément, Lookout recommande néanmoins d’effectuer la mise à jour de l’OS mobile. « Une attaque comme celle-ci met en évidence l’importance de s’assurer que votre appareil mobile, ou les appareils mobiles de vos employés, utilisent des logiciels à jour, justifie Andrew Blaich, chercheur en sécurité chez Lookout. Non corrigée, des bogues comme celui-ci peuvent inutilement alarmer les gens et impacter la productivité. » Une évidence qui va toujours mieux en le disant.
Lire également
iOS et OS X, un piratage par de simples images
Trois failles zero day d’iOS servaient à espionner des dissidents
Sécurité : Apple, Mac OS X et iOS les plus vulnérables en 2015
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.