Une brèche dangereuse dans iOS et Mac OS X risque de rendre accessibles les mots de passe et tout le contenu du gestionnaire des mots de passe 1Password, selon le site The Register.
La faille se trouve dans le mécanisme qui doit précisément éviter que les applications puissent approcher leurs données mutuelles, ce qu’on appelle le bac à sable (sandbox), indique The Register sur base de recherches communes effectuées par l’université d’Indiana, le Georgia Institute of Technology et la Peking University.
En utilisant le bug logiciel, les chercheurs ont fait la démonstration qu’ils pouvaient créer une appli capable d’afficher tous les mots de passe dans l’Apple’s Keychain. En outre, cette appli pouvait puiser les mots de passe dans des applis de tiers.
“Nous sommes parvenus à pirater tout le service Keychain, où Apple stocke les mots de passe et les autres paramètres de ses applis ainsi que les ‘sandbox containers’ dans OS X”, déclare Luyi Xing, qui a dirigé les recherches. “De plus, nous avons découvert de nouvelles faiblesses dans les mécanismes de communication entre applis au sein d’OS X et d’iOS, qui pourraient être exploitées pour dérober des données confidentielles d’Evernote, Facebook et d’autres applis largement utilisées.”
Apple a été avertie de la faille en octobre de l’année dernière déjà. L’entreprise en a confirmé la gravité, selon Xing, mais le problème subsiste encore dans les versions actuelles d’iOS et d’OS X. Les chercheurs ont à présent publié leurs découvertes dans un article scientifique.
En collaboration avec Automatiseringgids
