Le spécialiste de la sécurité zecOps de San Francisco affirme que deux vulnérabilités de sécurité jour zéro, c’est-à-dire des vulnérabilités inconnues jusqu’ici et pour lesquelles aucun correctif n’existe, sont exploitées activement sur l’iPhone, et le seraient depuis au moins janvier 2018.
Les cibles incluraient : des individus d’une entreprise Fortune 500 aux États-Unis ; un dirigeant d’un opérateur japonais; un VIP d’Allemagne ; Un journaliste européen ; des services gérés de cybersécurité en Arabie Saoudite et en Israël.
Il s’agit de vulnérabilités critiques, puisqu’elles permettent à un attaquant d’exécuter du code à distance, et d’infecter des appareils à distance en envoyant des courriels malveillants.
Il n’est même pas nécessaire que le courriel ait été téléchargé en entier : un appareil peut donc être infecté sans que le courriel malveillant n’apparaisse dessus.
La vulnérabilité est de type débordement de la pile, dans la librairie de code en charge de MIME.
Tous les iPhones avec iOS version 6 ou ultérieure, soit pratiquement tous les iPhones, sont vulnérables.
L’application vulnérable est Mail d’Apple, et le seul moyen de se protéger à ce jour serait de la désactiver, jusqu’à l’arrivée d’un futur correctif de sécurité pour iOS 13. Ni Outlook, ni Gmail ne seraient vulnérables.
L’attaque est particulièrement dangereuse sur les iPhones avec iOS 13, puisque aucune interaction de l’utilisateur n’est nécessaire.
Pour iOS 12, une attaque sans clic de l’utilisateur est également possible – il s’agit de la seconde vulnérabilité – si l’attaquant contrôle le serveur de messagerie.
ZecOps a averti Apple le 19 février 2020. Apple a développé un correctif, qui sera testé dans la beta d’iOS 13.4.5.