Des spécialistes de la sécurité de la société Fire Eye ont trouvé une vulnérabilité dans plusieurs versions d'iOS dont la dernière en date 7.0.6 qui corrige le fameux bug « goto fail ». Les versions 7.0.5, 7.0.4 et 6.1.x sont également concernées. A travers cette faille, il est possible d'installer une sorte de « key logger »  au sein d'une application qui enregistre les frappes sur l'écran tactile. Ce bout de code peut fonctionner en arrière-plan quand l'application fonctionne, mais aussi quand le terminal est en mode veille.

Par ailleurs, les chercheurs de FireEye affirment avoir trouvé un moyen pour contourner le processus d'examen d'Apple pour valider une « application espionne ». « Nous avons créé une application expérimentale de monitoring pour les versions iOS 7.0.x non jailbreakées », expliquent dans un blog Min Zheng, Hui Xue et Tao Wei. Ils ajoutent que « cette application de monitoring peut enregistrer en arrière-plan toutes les actions sur l'écran tactile comme augmenter le volume, appuyer sur le TouchID ou sur le bouton de retour à la page d'accueil. Ensuite l'application peut envoyer les évènements à un serveur distant ».



Exemple d'enregistrements réalisés par l'application test

Contourner l'activation de rafraîchissement des contenus


Normalement iOS 7 donne la possibilité aux utilisateurs de contrôler les applications qui actualisent leurs contenus en arrière-plan, mais les chercheurs considèrent qu'il y a des façons de contourner cette restriction. « Par exemple, une application peut jouer de la musique en arrière-plan sans avoir enclenché la fonction « actualisation en arrière-plan » dans les réglages. Ainsi, un programme malveillant peut se déguiser comme une application de musique », considèrent les collaborateurs de FireEye.

Apple a été informée de cette faille, mais n'a pas fait de commentaires. Pour FireEye, la meilleure façon d'éviter ce problème de sécurité en l'absence de patch d'Apple est de désactiver l'actualisation en arrière-plan des applications.

L'enregistrement des actions sur l'écran tactile semble avoir le vent en poupe. Neal Hindocha, consultant en sécurité chez Trustwave, va faire une démonstration de « touch logging » sur des applications Android et iOS lors de la conférence de sécurité RSA qui se déroule cette semaine. Cependant, à la différence de FireEye, l'application test pour iOS nécessite un terminal jailbreaké.