Site icon Sophos News

Mise à jour de sécurité Apple vers iOS 11.4 : au moins une bonne raison de l’installer !

mise a jour de securite

Hier, nous avons écrit au sujet d’iOS 11.4, la dernière mise à jour de sécurité d’Apple, pas encore documentée, pour les utilisateurs d’iPhone et d’iPad.

Nous avons installé cette mise à jour simplement parce que nous le pouvions, mais certaines personnes nous ont dit: “nous voulons avoir des éléments concrets avant de continuer, pas seulement le mot ‘parce que’”.

Ils ont raison sur un point : une mise à jour de sécurité qui ne vous donne pas de raisons valables pour l’installer est assez rare de nos jours, et vous donne l’impression qu’au final vous allez obtenir tout un tas de nouvelles fonctionnalités.

Cela risque de ne pas être suffisant pour vous inciter à passer à l’action.

Eh bien, même sans l’email d’alerte sécurité officiel d’Apple, nous pensons avoir trouvé une raison plus que satisfaisante.

Vous vous rappelez le “message piègé” sur WhatsApp et le problème du “black dot” avec iMessage au début du mois de mai 2018 ?

Il s’agissait de messages texte qui circulaient publiquement et qui semblaient ne contenir qu’une simple ligne, mais qui en réalité contenaient des milliers de caractères de contrôle Unicode pour changer le sens du texte.

Les caractères malveillants sont formellement connus comme étant LEFT-TO-RIGHT MARK et RIGHT-TO-LEFT MARK : ils ne sont pas réellement visibles au niveau de l’écran, mais ils sont généralement nécessaires lors de l’affichage du texte dans des langues telles que l’arabe et l’hébreu.

Ces langues s’écrivent de droite à gauche, mais écrivent généralement les nombres de gauche à droite en utilisant des chiffres indiens, tout comme nous le faisons en anglais.

Ainsi, l’arabe et l’hébreu doivent systématiquement composer du texte à partir de la droite, puis avancer et reculer pour afficher les chiffres de gauche vers le texte qui vient d’être écrit, puis revenir en arrière, sauter les chiffres et continuer d’inscrire le texte de droite à la gauche.

Cependant, il semble que le code d’affichage du texte dans les produits d’Apple n’ait jamais été conçu pour effectuer des basculements gauche/droite/gauche/droite des milliers de fois de suite, sans autre raison que de provoquer désagréments.

En effet, au début de ce mois, nous avons délibérément envoyé plusieurs “messages piégés” à l’application Messages sous iOS, et nous nous sommes rapidement retrouvés en difficulté.

Nous ne pouvions plus facilement revenir à l’écran qui affichait les messages, car l’application essayait désespérément de traiter les messages malveillants au niveau de la liste principale des conversations, où nous aurions pu supprimer tous ces messages piégés d’un coup.

Malheureusement, nous n’avons pas pu ouvrir individuellement les messages à partir de l’écran des messages pour accéder au “menu des messages supprimés”.

Typiquement, l’application se bloquait, ou plantait avant que nous puissions rétablir la situation, après quoi le redémarrage de l’application nous renvoyait immédiatement à l’endroit exact où nous étions avant le plantage, et le cercle vicieux continuait ainsi de suite.

Mieux après la mise à jour de sécurité ?

Quoi qu’il en soit, après la mise à jour de sécurité vers la version iOS 11.4, nous avons essayé d’envoyer à nouveau des messages non autorisés, et les résultats observés n’étaient plus aussi mauvais qu’auparavant.

Nous ne pouvons pas être sûrs qu’Apple ait décidé de corriger cette faille, mais il semble que l’application Messages coupe désormais automatiquement les longs messages, afin de limiter le nombre de caractères de contrôle Unicode invisibles qui peuvent être exécutés au niveau de l’application.

Selon nos observations, entièrement fondées sur des déductions basiques et sans réelle analyse approfondie, donc à prendre avec précautions, ces “messages piégés” tronqués ont pu assez facilement être supprimés, ce qui n’était pas le cas avant la mise à jour de sécurité.

Nous avons été en mesure de supprimer les messages indésirables un par un, ainsi que d’échapper aux messages principaux pour supprimer des conversations entières d’un seul coup.

Donc, si vous cherchez une bonne raison d’installer la mise jour de sécurité vers iOS 11.4, et ce même face au silence d’Apple, peut-être êtes-vous à présent convaincu ?

Comme nous l’avons dit, tout ceci n’est que pure déduction, nous ne pouvons pas savoir si Apple a réellement changé l’application Messages, encore moins si l’intention était de traiter le problème du “message piégé” …

… mais nous n’avons pas trouvé que cela était pire qu’auparavant, donc nous sommes plutôt contents !


Billet inspiré de We found 1 good reason to get the iOS 11.4 update – rogue message handling, sur Sophos nakedsecurity.

Exit mobile version