La sécurité d’iOS, et en particulier celle de l’application Mail, a été mise à mal par des chercheurs de la start-up ZecOps qui y ont découvert deux failles de type zero day. Ces dernières ne sont pas anodines car elles sont réellement exploitées par un « opérateur d’APT » depuis 2018, expliquent les experts dans leur publication. Pire, elles existeraient depuis au moins 8 ans en touchant iOS 6 (sorti en 2012) jusqu’à iOS 13.

Les deux vulnérabilités sont exploitables à distance par les attaquants qui envoient simplement un courriel via l’application iOS Mail aux utilisateurs d’iPhone ou d’iPad. Le mail envoyé est spécifiquement conçu pour « déclencher la vulnérabilité au sein de l’application MobileMail sur iOS 12 ou maild sur iOS 13 », poursuivent les analyses de ZecOps. Selon eux, l’utilisation de ces brèches peut également donner aux attaquants la capacité d’accéder à des messages associés à l’application Mail.

Détails sur les deux failles

Dans le détail, la première faille concerne l’écriture OOB (Out of Bounds). La bibliothèque affectée est "/System/Library/PrivateFrameworks/MIME.framework/MIME avec la fonction vulnérable [MFMutableData appendBytes:length :]. Cette dernière « ne vérifie pas l’erreur pour l’appel système ftruncate (), ce qui conduit à l’écriture Out-Of-Bounds », précise les chercheurs. Et d’ajouter, « nous avons également trouvé un moyen de déclencher l'OOB-Write sans attendre l'échec de l'appel système ftruncate ».

La deuxième faille correspond à un Heap Overflow, c’est-à-dire un débordement tampon. Elle peut être là aussi déclenchée à distance. « Le bug d’écriture OOB et celui de Heap Overflow sont tous deux dus au même problème : ne pas gérer correctement la valeur de retour des appels systèmes », glisse le rapport. Au final, « une exploitation réussie de ces failles permettrait à l’attaquant de révéler, de modifier et de supprimer des e-mails », indiquent les experts en précisant qu'une vulnérabilité supplémentaire du noyau fournirait un accès complet au terminal.

Des vulnérabilités issues du marché lucratif des failles zero day

Le rapport souligne que les attaques sur iOS 13 ne nécessiteraient aucune interaction de la part de la victime quand l’application Mail est ouverte et fonctionne en arrière-plan. Pour les utilisateurs d’iOS 12, ils doivent cliquer sur le courriel, en sachant que « l’attaque sera déclenchée avant d’afficher le contenu et l’utilisateur ne remarquera aucune anomalie dans le courriel ».

Reste que pour exploiter ces failles, « les attaquants doivent travailler durs », explique ZecOps. Derrière les récentes attaques, les groupes sont probablement épaulés par des Etats. On peut soupçonner aussi ces vulnérabilités d’être sorties du marché très lucratif des zero day. Des brèches sur iOS se monnayent très cher sur des plateformes comme Zerodium. Ainsi, une chaîne d’exploit sur iOS en zero clic vaut environ 2 millions de dollars.

Un patch dans la version beta d’iOS 13.4.5

Apple a été informé de la découverte des deux failles critiques et a publié des correctifs dans la version beta iOS 13.4.5. Mais « les terminaux resteront vulnérables jusqu’à ce que la version finale d’iOS 13.4.5, soit diffusée pour tous ». En attendant pour atténuer les risques, il faut désactiver les comptes qui sont connectés à l’application Mail d’iOS et se servir d’autres applications comme Outlook de Microsoft ou Gmail de Google.