Des hackers ont trouvé une faille permettant de récupérer des photos effacées sous iOS, Réactions à la publication du 15/11/2018

[Lionel]

Deux hackers, Richard Zhu et Amat Cama, ont, lors du concours Pwn2Own qui se tient actuellement, remporté un prix de 50 000$ pour avoir réussi à récupérer sur un iPhone X sous iOS 12.1 des photos qui avaient été effacées de l'appareil.
La faille touche la version de Safari sous iOS et en particulier son compilateur just-in-time. Elle a été exploitée grâce à la création d'un point d'accès Wi-Fi malicieux spécialement créé pour ce hack.
La faille permettrait plus de choses que juste récupérer ces photos, probablement l'accès à une bonne partie des données stockées sur les appareils.
Apple en a été informée et les détails de l'exploitation de cette faille n'ont pas été divulgués, le temps qu'elle mette au point un correctif.

Pour rappel, les règles du concours Pwn2Own font que pour obtenir la prime maximale (comme ici), il faut utiliser un appareil doté des dernières versions de son système d'exploitation et logiciels sans ajout de logiciels tiers.

Lien vers le billet original

[zoso2k1]

c'est de mieux en mieux.

[lookibus]

Deux hackers, Richard Zhu et Amat Cama ont, lors du concours Pwn2Own qui se tient actuellement, remporté un prix de 50 000$ pour avoir réussi à récupérer sur un iPhone X sous iOS 12.1 des photos qui avaient été effacées de l'appareil.
La faille touche la version de Safari sous iOS et en particulier son compilateur just-in-time. Elle a été exploitée grâce à la création d'un point d'accès Wi-Fi malicieux spécialement créé pour ce Hack.
La faille permettrait plus de choses que juste récupérer ces photos, probablement l'accès à une bonne partie des données stockées sur les appareils.
Apple en a été informée et les détails de l'exploitation de cette faille n'ont pas été divulguées le temps qu'elle mette au point un correctif.

Pour rappel, les règles du concours Pwn2Own font que pour obtenir la prime maximale (comme ici), il faut utiliser un appareil doté des dernières versions de son système d'exploitation et logiciels sans ajout de logiciels tiers.

Lien vers le billet original

Donc si je comprends bien il faut qu’on vous vole votre iPhone, qu’on arrive à y accéder, qu’on le connecte à un point wifi malicieux spécialement créé à cet effet... Ach, je ne sais pas si j’arriverai encore à dormir tranquille!

[MrBotus]

Deux hackers, Richard Zhu et Amat Cama ont, lors du concours Pwn2Own qui se tient actuellement, remporté un prix de 50 000$ pour avoir réussi à récupérer sur un iPhone X sous iOS 12.1 des photos qui avaient été effacées de l'appareil.
La faille touche la version de Safari sous iOS et en particulier son compilateur just-in-time. Elle a été exploitée grâce à la création d'un point d'accès Wi-Fi malicieux spécialement créé pour ce Hack.
La faille permettrait plus de choses que juste récupérer ces photos, probablement l'accès à une bonne partie des données stockées sur les appareils.
Apple en a été informée et les détails de l'exploitation de cette faille n'ont pas été divulguées le temps qu'elle mette au point un correctif.

Pour rappel, les règles du concours Pwn2Own font que pour obtenir la prime maximale (comme ici), il faut utiliser un appareil doté des dernières versions de son système d'exploitation et logiciels sans ajout de logiciels tiers.

Lien vers le billet original

Donc si je comprends bien il faut qu’on vous vole votre iPhone, qu’on arrive à y accéder, qu’on le connecte à un point wifi malicieux spécialement créé à cet effet... Ach, je ne sais pas si j’arriverai encore à dormir tranquille!

Non c'est avec ton téléphone tu te connectes à un Hotspot malicieu (appelé par exemple WiFi MacDo) pendant que tu navigues avec safari on te sifonne tes données.

Ce message a été modifié par MrBotus - 15 Nov 2018, 10:49.

[Dark Oopa]

en gros une attaque man in the middle des plus simples et classiques (je parle du fonctionnement de base, derriere ya clairement du savoir faire et de l'inovation). Ce genre d'attaque a fait ses preuves, donc non, il ne faut pas etre rassuré.

Ce message a été modifié par Dark Oopa - 15 Nov 2018, 11:09.

[iAPX]

La photo n'était pas "effacée" mais était dans les contenus "récemments effacées", donc pas effacés du tout en fait puisqu'"on peut les récupéré sous iOS comme macOS. La corbeille quoi.

En revanche ils ont réussi à avoir accès au Filesystem complet depuis Safari et ça c'est plutôt malvenu...

[scoch]

En revanche ils ont réussi à avoir accès au Filesystem complet depuis Safari et ça c'est plutôt malvenu...

C'est à cause de Flash bien sûr

[marc_os]

Et bien sûr ça ne concerne que Apple ?
Et bien non :

Confirmed! The @fluoroacetate
duo used an integer overflow in the JavaScript engine of the #Xiaomi web browser to exfiltrate a picture from the phone. They earn $25K and 6 Master of Pwn points.

Que celui qui n'a jamais fauté jette la première pierre !
Vu les pierres jetées régulièrement sur Apple sur ce forum, il y a beaucoup de saints qui traînent par ici !

[broitman]

Genial car tres simple

[otto87]

Et bien sûr ça ne concerne que Apple ?
Et bien non :

Confirmed! The @fluoroacetate
duo used an integer overflow in the JavaScript engine of the #Xiaomi web browser to exfiltrate a picture from the phone. They earn $25K and 6 Master of Pwn points.

Que celui qui n'a jamais fauté jette la première pierre !
Vu les pierres jetées régulièrement sur Apple sur ce forum, il y a beaucoup de saints qui traînent par ici !

A moins que tu ne sois trop pommocentré, c'est pas comme si ça faisait des années que tout les OS et tout les navigateurs se font éclater tout les ans dans ce concours, la seule différence c'est le nombre de secondes ou minutes pour arriver a ses fins.

[Lionel]

Et bien sûr ça ne concerne que Apple ?
Et bien non :

Confirmed! The @fluoroacetate
duo used an integer overflow in the JavaScript engine of the #Xiaomi web browser to exfiltrate a picture from the phone. They earn $25K and 6 Master of Pwn points.

Que celui qui n'a jamais fauté jette la première pierre !
Vu les pierres jetées régulièrement sur Apple sur ce forum, il y a beaucoup de saints qui traînent par ici !

Qui a un Xaomi ici ?
OK, alors on s'en fout d'eux à peu de choses près, on a pratiquement tous des iPhone.

Vois tu, marc_os, avec tous le respect que je te dois, tu es incroyablement prévisible car tes réactions semblent dictées par le book qu'aurait pu écrire Apple pour se faire défendre sur les forums. Si on critique la société sans fondements, tu réponds en essayant de fonder. Si la critique est fondée tu argumentes avec d'autres bases ou tu déplaces le problème. Si la critique est totalement inattaquable, comme ici, avec le batterygate ou un truc du genre, tu cherches à prouver qu'Apple n'est pas la seule à avoir le problème pour transformer un truc concernant la société en un autre concernant les fabricants de smartphones ou toute l'industrie.
En fait, tu as un dictionnaire de moyens de répondre à ce que tu assimiles comme des critiques envers Apple. Je ne sais pas si c'est toi qui a écrit ce mode d'emploi ou s'il est fait par des spécialistes d'Apple, mais globalement vous êtres quelques uns à l'utiliser à quelques variantes près peu significatives.

[Summerin]

Et bien sûr ça ne concerne que Apple ?
Et bien non :

Confirmed! The @fluoroacetate
duo used an integer overflow in the JavaScript engine of the #Xiaomi web browser to exfiltrate a picture from the phone. They earn $25K and 6 Master of Pwn points.

Que celui qui n'a jamais fauté jette la première pierre !
Vu les pierres jetées régulièrement sur Apple sur ce forum, il y a beaucoup de saints qui traînent par ici !

Qui a un Xaomi ici ?

Moi
J'ai un Xiaomi Mi A1, sous Android sans surcouche car c'est un Android One, donc pas impacté par le navigateur Xiaomi vu qu'il n'est pas présent.

Effectivement on s'en fout un peu
Même si c'est de loin le meilleur tel que j'ai eu. 170 euros, double sim ou sim + micro SD, 4 Go ram et 64 Go de stockage et avec Google Camera les photos sont top. Et je le charge en gros tous les 2 jours.

Pour le reste, oui marc_os est clairement prévisible, sans respect et ses interventions assez vides.
Souvent, vu son ton aggressif et la qualité de ses interventions, il me fait penser aux petits caniches qui abboient et veulent sauter sur les plus gros juste... pour exister.

[downanotch]

En revanche ils ont réussi à avoir accès au Filesystem complet depuis Safari et ça c'est plutôt malvenu...

Pas forcément, Safari a accès aux photos (pour permettre l'upload sur un serveur par exemple).

[iAPX]

En revanche ils ont réussi à avoir accès au Filesystem complet depuis Safari et ça c'est plutôt malvenu...

Pas forcément, Safari a accès aux photos (pour permettre l'upload sur un serveur par exemple).

C'est dans la description du hack: le fait que ça soit une photo est juste un effet-de-bord, ça aurait pu être n'importe quel contenu du filesystem. (lire ici)

[marc_os]

Et bien sûr ça ne concerne que Apple ?
Et bien non :

Confirmed! The @fluoroacetate
duo used an integer overflow in the JavaScript engine of the #Xiaomi web browser to exfiltrate a picture from the phone. They earn $25K and 6 Master of Pwn points.

Que celui qui n'a jamais fauté jette la première pierre !
Vu les pierres jetées régulièrement sur Apple sur ce forum, il y a beaucoup de saints qui traînent par ici !

Qui a un Xaomi ici ?
OK, alors on s'en fout d'eux à peu de choses près, on a pratiquement tous des iPhone.

Vois tu, marc_os, avec tous le respect que je te dois, tu es incroyablement prévisible car tes réactions semblent dictées par le book qu'aurait pu écrire Apple pour se faire défendre sur les forums. Si on critique la société sans fondements, tu réponds en essayant de fonder. Si la critique est fondée tu argumentes avec d'autres bases ou tu déplaces le problème. Si la critique est totalement inattaquable, comme ici, avec le batterygate ou un truc du genre, tu cherches à prouver qu'Apple n'est pas la seule à avoir le problème pour transformer un truc concernant la société en un autre concernant les fabricants de smartphones ou toute l'industrie.
En fait, tu as un dictionnaire de moyens de répondre à ce que tu assimiles comme des critiques envers Apple. Je ne sais pas si c'est toi qui a écrit ce mode d'emploi ou s'il est fait par des spécialistes d'Apple, mais globalement vous êtres quelques uns à l'utiliser à quelques variantes près peu significatives.

C'est vrai que ta réaction à toi est une totale surprise, elle en effet était totalement imprévisible !

[raoulito]

Qui a un Xaomi ici ?
OK, alors on s'en fout d'eux à peu de choses près, on a pratiquement tous des iPhone.

deja donc non la preuve plus haut, ensuite ce n'est pas comme si on tenait 10 posts sur chaque news ou personne ne venait comparer avec ce qui se faisait "en dehors d'apple"
non pas que je n'entende pas tes propos, mais il faut raison garder  : si on compare pour dire qu'ailleurs c mieux alors on compare aussi pour dire quand c pareil pour pire en face.

apres, raison ou tort, le message d'Otto87 est parfaitement exact  : dans ce concours, rares sont le sOS et les navigateurs qui s'en sortent joyeux

Ce message a été modifié par raoulito - 17 Nov 2018, 00:52.

[Lionel]

Qui a un Xaomi ici ?
OK, alors on s'en fout d'eux à peu de choses près, on a pratiquement tous des iPhone.

deja donc non la preuve plus haut, ensuite ce n'est pas comme si on tenait 10 posts sur chaque news ou personne ne venait comparer avec ce qui se faisait "en dehors d'apple"
non pas que je n'entende pas tes propos, mais il faut raison garder  : si on compare pour dire qu'ailleurs c mieux alors on compare aussi pour dire quand c pareil pour pire en face.

apres, raison ou tort, le message d'Otto87 est parfaitement exact  : dans ce concours, rares sont le sOS et les navigateurs qui s'en sortent joyeux

Tout à fait, je n'ai jamais dit le contraire sauf que l'on est largement orienté écosystème Apple ici. Donc, on peut essayer de noyer le poisson dans une quantité d'eau plus grande, cela ne change rien au fait qu'il y ait un problème majeur.

[raoulito]

Donc, on peut essayer de noyer le poisson dans une quantité d'eau plus grande, cela ne change rien au fait qu'il y ait un problème majeur.

je suis d'accord hein  ? juste la phrase est belle...

[mazelle jeanne]

C'est vrai que la phrase est belle (c'est bien la première fois que je suis d'accord avec raoulito )

[Guest_anonym_d019ede3_*]

Qui a un Xaomi ici ?
OK, alors on s'en fout d'eux à peu de choses près, on a pratiquement tous des iPhone.

Moi je n'ai pas un Xaomi, j'ai un Xiaomi mi mix 2, téléphone dont je suis très satisfait et sans notch hideux pour moins du tiers du prix du truc à bobos de "notchman bas du front", avec une très bonne émission/réception, ce dont les possesseurs d'iphone se moquent puisqu'ils ne se servent plus d'un smartphone pour téléphoner visiblement…

Je m'efforce d'avoir un discours aussi réducteur que la phrase que je viens de lire qui pourtant ne te ressemble pas à l'habitude.

Ah oui et côté design le mien à trouvé sa place dans plusieurs musées, What else ?