Apple a créé un nouveau système de sécurité "BlastDoor" pour iMessage dans iOS 14 afin d'empêcher les acteurs malveillants de cibler les clients individuels de l'iPhone avec un message texte.
Au fil des ans, divers bogues dans l'application Messages ont ouvert de nombreux nouveaux vecteurs d'attaque pour les parties malveillantes qui utiliseraient le cache partagé ou les attaques par force brute pour pénétrer dans l'application Messages. Les chercheurs en sécurité ont averti que la fonction de messagerie populaire iMessage d'Apple faisait un mauvais travail pour nettoyer les données entrantes des utilisateurs.
L'analyse d'entrées non fiables est toujours risquée et les mauvais acteurs n'en sont que trop conscients. Un utilisateur malveillant découvrirait généralement un bogue de Messages zero-day et l'exploiterait dans la nature. Puis quelque temps plus tard, après en avoir été informé, Apple corrigeait la vulnérabilité. Ce jeu du chat et de la souris entre Apple et la communauté de la sécurité n'a rien de nouveau.
BlastDoor corrige ce problème en analysant toutes les données iMessage dans un environnement isolé. Cela empêche les textes conçus de manière malveillante de casser l'application Messages, de voler des données utilisateur ou de nuire au système d'exploitation sous-jacent. Le sandboxing sépare les programmes en cours d'exécution du reste du système et est déjà largement utilisé à plusieurs endroits sur iOS.
BlastDoor apporte un mécanisme de sandboxing aux limites de l'application Messages et d'iMessage. Selon ZDNet, ce nouveau mécanisme de sécurité dans iOS 14, iPadOS 14 et macOS 11 a été découvert pour la première fois par le chercheur en sécurité Project Zero de Google, Samuel Groß.
Mais cela a piqué l'intérêt de Samuel, surtout après avoir découvert qu'iOS 14, iPadOS 14 et macOS 11 introduisent des défenses de sécurité améliorées pour l'application Messages. Selon son article de blog, le système BlastDoor ajoute une couche de sécurité renforcée à iMessage.
Dans l'ensemble, ces modifications sont probablement très proches des meilleures qui auraient pu être apportées étant donné le besoin de rétrocompatibilité, et elles devraient avoir un impact significatif sur la sécurité d'iMessage et de la plate-forme dans son ensemble.
Le billet de blog se donne beaucoup de mal pour détailler non seulement le nouveau service BlastDoor, mais également d'autres améliorations pour un traitement plus sécurisé des données iMessages, y compris la remise en place du cache partagé et la limitation exponentielle.
C'est formidable de voir Apple mettre de côté les ressources pour ces types de refactorisations importantes afin d'améliorer la sécurité des utilisateurs finaux. De plus, ces changements mettent également en évidence la valeur du travail de sécurité offensif :non seulement des bogues isolés ont été corrigés, mais des améliorations structurelles ont été apportées à la place sur la base des connaissances acquises lors du travail de développement d'exploits.
En résumé, Groß a qualifié la nouvelle fonctionnalité BlastDoor de "le mieux qui aurait pu être fait compte tenu de la nécessité d'une rétrocompatibilité".
Les mises à jour d'iOS 14.4 et d'iPadOS 14.4 incluent des correctifs pour trois vulnérabilités qui, selon Apple, "pourraient avoir été activement exploitées" dans la nature. Lorsqu'elles sont utilisées ensemble, les vulnérabilités rendent possible l'élévation des privilèges et les attaques par exécution de code à distance.
Ni Apple ni les chercheurs en sécurité ne diraient publiquement si ces exploits corrigés auraient pu être utilisés pour mener une campagne de piratage ciblant les employés et les journalistes d'Al Jazeera. Pour ce que ça vaut, le projet Citizen Lab a confirmé que l'exploit présumé qui a rendu possible le piratage d'Al Jazeera ne fonctionne effectivement plus dans iOS 14.
La meilleure façon de se protéger contre l'exploit de Messages inconnu est de maintenir les appareils à jour. Mettez à jour le logiciel système de vos appareils dès que des mises à jour sont disponibles. N'ouvrez pas de pièces jointes suspectes ni de SMS non sollicités provenant de contacts inconnus. Cela ne vous protégera pas complètement des exploits zero-day, mais ces mesures, combinées à la nouvelle fonctionnalité de sécurité BlastDoor, devraient vous aider à améliorer votre sécurité.
Pour mettre à jour votre iPhone, iPad ou iPod touch vers le dernier logiciel iOS sans fil, aventurez-vous dans Paramètres > Général > Mise à jour du logiciel . Si vous voyez un message indiquant qu'une mise à jour est disponible, appuyez sur "Installer maintenant". L'appareil doit être branché sur le secteur et connecté au Wi-Fi.
Pour mettre à jour le logiciel du système d'exploitation macOS sur votre Mac, choisissez "Préférences système" dans le menu Apple et sélectionnez l'option "Mise à jour logicielle". Si des mises à jour sont disponibles, cliquez sur le bouton "Mettre à jour maintenant" pour les installer. Vous serez peut-être invité à entrer votre mot de passe administrateur pour terminer l'installation de la mise à jour.