Aller directement au contenu
iOS 7.0.3
Produits et Services PRODUITS & SERVICES

Release iOS 7.0.3 : Apple continue de corriger des vulnérabilités dans l’écran de verrouillage, dont un bug au niveau des appels d’urgence

iOS 7.0.3Peu de temps après la sortie d’iOS 7, quelques failles de sécurité touchant l’écran de verrouillage ont été découvertes, puis rapidement corrigées avec iOS 7.0.2.

Il semblerait, cependant, qu’Apple n’ait pas anticipé la résolution de ces problèmes sur le long terme, puisque iOS 7.0.3 a corrigé trois failles supplémentaires touchant également l’écran de verrouillage.

Cette fois-ci, les trois bugs concernent des problèmes similaires à ceux corrigés par la version 7.0.2 :

[list type=”bullet”]

  • Nouvelle faille dans la fonctionnalité « appels d’urgence ». Si vous appuyez sur la touche «appel» à un moment bien précis, vous pourrez appeler n’importe qui et pas uniquement les numéros d’urgence.
  • Possibilité de contourner le système de verrouillage du téléphone même après trop de tentatives infructueuses du code secret. Ainsi, les pirates peuvent continuer à essayer des codes même après le nombre maximum d’essais autorisés par le téléphone avant verrouillage.
  • Possibilité d’accéder aux contacts même lorsque le téléphone est verrouillé.

[/list]

 

[message_box title=”Il est intéressant de lire la description du correctif de la faille touchant les appels d’urgence” color=”blue”]Un déréférencement NULL existait au niveau de l’écran de verrouillage, ce qui provoquait son redémarrage lorsque le bouton d’appel était actionné à l’arrivée d’une notification ou lorsque l’écran de l’appareil photo était partiellement visible. Au moment du redémarrage de l’écran de verrouillage, il était impossible pour le composeur de connaître l’état de l’écran de verrouillage. Ainsi, celui-ci partait du principe que le téléphone était déverrouillé et autorisait ainsi les appels vers tous les numéros. Ce problème a été résolu par la suppression du déréférencement NULL.[/message_box]

[message_box title=”Ça vous rappelle quelque chose ? C’est bien normal car c’est déjà arrivé et cela a même été consigné dans les notes de sécurité d’iOS 7.0.2″ color=”blue”]L’écran verrouillé présentait un déréférencement NULL, provoquant un redémarrage si le bouton d’appel d’urgence était sollicité à plusieurs reprises. Pendant le redémarrage de l’écran verrouillé, son état était inaccessible au composeur, qui considérait par conséquent l’appareil comme étant déverrouillé et autorisait ainsi les appels vers tout type de numéro. Ce problème a été résolu par la suppression du déréférencement NULL.[/message_box]

Nous vous l’avons expliqué précédemment, les pointeurs NULL (en référence aux adresses mémoires) ne peuvent pas faire l’objet d’un déréférencement. En termes de programmatique, cela n’a aucun sens : un pointeur NULL ne pointe, par définition, nulle part.

Lorsqu’un programme tente un déréférencement NULL, il est presque impossible de savoir ce que le programmeur avait en tête (qui sait quel emplacement mémoire était censé être utilisé à la place ?). Ainsi, le système d’exploitation n’a qu’une seule option : interrompre ce programme.

→ Un pointeur NULL est souvent synonyme de variable non initialisée ou d’erreur d’allocation de mémoire, représenté par la valeur spéciale NULL, qui a été ignorée. En cas d’erreur d’allocation de mémoire, vous essayez d’utiliser de la mémoire, sans l’avoir préalablement allouée. Pour ce qui concerne la variable non initialisée, vous essayez d’utiliser de la mémoire pour laquelle vous avez lancé une requête, mais vous ne recevez rien.

Ainsi, la correction du déréférencement NULL n’était pas une mauvaise idée de la part d’Apple, mais cela n’a visiblement pas suffi à régler le problème des vulnérabilités de l’écran de verrouillage dans sa globalité.

A la sortie d’iOS 7.0.2, nous vous avons fait les observations suivantes :

[list type=”bullet”]

  • De par les fonctionnalités de sécurité essentielles qu’assure l’écran de verrouillage, Apple doit mettre les autres logiciels en attente pendant que ce dernier redémarre.
  • Apple devrait coder les éléments pour qu’ils se ferment par défaut : pour des questions de sécurité, si le logiciel de l’écran de verrouillage n’est pas capable de savoir si le téléphone est verrouillé ou déverrouillé, qu’il le considère comme verrouillé.

[/list]

 

Bien sûr, cela est plus facile à dire qu’à faire : les régulateurs intégrés aux téléphones portables sont contraints, par la force des choses, d’autoriser des mécanismes de contournement de l’écran de verrouillage.

C’est grâce à ces mécanismes que les appels d’urgence peuvent être passés à n’importe quel moment, à condition que le téléphone soit chargé et connecté au réseau (vous pouvez même appeler le 112 sans carte SIM, par exemple).

Ceci rend donc difficile la mise en place d’un écran de verrouillage « à l’envers » (soit, un système dans lequel le téléphone serait uniquement déverrouillé lorsque le logiciel de verrouillage d’écran fonctionne et non l’inverse) et explique probablement pourquoi Apple hésite à modifier le fonctionnement de son système de verrouillage de l’écran, alors que celui-ci n’a représenté qu’un léger correctif dans iOS.

L’inconvénient, si cela est vrai, est qu’iOS 7.0.3 risque de faire couler encore beaucoup d’encre, si Apple ne procède qu’à des petites modifications de son système d’exploitation.

En résumé, si la sécurité vous intéresse, assurez-vous de téléchargez la mise à jour le plus tôt possible, si votre téléphone ne l’a pas déjà fait à votre place.


//
[divider]

Billet inspiré de Apple releases iOS 7.0.3 – fixes yet more lockscreen holes, including a call-anybody bug, par Paul Ducklin, Sophos nakedsecurity.

Partagez Release iOS 7.0.3 : http://bit.ly/17dKaXt

Lire des articles similaires

1 commentaire

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *