Journal Charlie Miller peut fouiller vos données iPhone et iPad

Posté par .
10
10
nov.
2011

Expert en sécurité, Charlie Miller a trouvé une faille de sécurité sur les appareils Apple. Il a fait publier sur l'Appstore une application pouvant exécuter ensuite n'importe quel code, sans passer par les vérifications d'usages.

Il a publié une vidéo.

Le code ou la méthode exacte de l'attaque n'a pas été dévoilé. Miller attend qu'Apple ait corrigé le problème. Il fera sans doute démonstration de son exploit lors de la conférence SysCan, à Taiwan le 17 novembre.

Il est sympa quand même Charlie.

L'article sur maxisciences.com

  • # Les Charlie subissent en ce moment.

    Posté par (page perso) . Évalué à -7.

    Visiblement, Apple n'a pas apprécié l'initiative de Miller - qui est développeur chez eux - puisqu'il s'est fait tout simplement viré... via Twitter !

    Debug the Web together.

    • [^] # Re: Les Charlie subissent en ce moment.

      Posté par (page perso) . Évalué à 4.

      Hum... D'après ton lien, il ne s'est pas fait virer via twitter. Il a annoncé qu'il s'était fait virer du "iOS Developer program" sur Twitter.

    • [^] # Re: Les Charlie subissent en ce moment.

      Posté par (page perso) . Évalué à 6.

      ben si il a fait publier un malware sur l'app-store , ça me semble la moindre des choses que de se faire kick banner son compte developpeur, c'est pas un bac a sable pour les script kiddies et les experts en sécurité qui veulent se faire mousser.

      • [^] # Re: Les Charlie subissent en ce moment.

        Posté par . Évalué à 6.

        Quand tu veux prouver quelque chose, il faut parfois aller jusqu'au bout.

        • [^] # Re: Les Charlie subissent en ce moment.

          Posté par . Évalué à 5.

          Surtout qu'apparement il a déjà aidé Apple en leur remontant divers bugs et/ou failles (et pas plus tard qu'au mois d'octobre). Les actions cons du genre "je me tire une balle dans le pieds", ça fait bien marrer en général...

          Et je pense même qu'il s'est servi de l'Apple store de façon à vérifier que ça marchait et qu'il y avait donc une faille...

          • [^] # Re: Les Charlie subissent en ce moment.

            Posté par . Évalué à -9.

            T'as pas besoin du store pour verifier, juste un compte developeur, et tu teste sur ton telephone.

            Les binaires developpeurs passent par le meme process de signature, ils sont juste signes avec des certificats differents.

            If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

        • [^] # Re: Les Charlie subissent en ce moment.

          Posté par . Évalué à -8.

          Dns ce cas, t'as pas besoin de publier sur le store et encore moins de venirmle fanfarroner en public une fois en ligne.

          T'ouvres un bug sur le bug tracker apple, tu joint ton exploit, apple est au courant et corrigera le pb.

          C'est comme si un contributeur fedora s'amusait a glisser son exploit dans les repo officiels et venait ensuite le crier sur les toits une fois que ca a atteint RHEL, comment est ce que RH le prendrais a ton avis?

          If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

          • [^] # Re: Les Charlie subissent en ce moment.

            Posté par . Évalué à 2.

            Il y a une différence de taille entre les deux :
            Chez Redhat il n'aurait pas été obligé de passer par un tel process pour prouver qu'il y a problème. Et au pire, s'il n'enlève pas lui même ses commentaires (àlacon) il y aura certainement toujours quelqu'un pour ne regarder que le code dans ses messages.

            Il est probable que pour Apple il s'agisse moins d'un problème avec les règles de son appstore que sa réputation. Qu'il ai réussi à commiter ça comme cela démonte bien la légende des vérifications chez Apple. Et ça, ça doit leur faire plus mal au cul qu'une faille, en fait.

            • [^] # Re: Les Charlie subissent en ce moment.

              Posté par . Évalué à -9.

              C'est un exploit, tu crois quoi, qu'apple vérifie chaque chemin de code possible et imaginable en decompilant le binaire?
              Ils partent du principe que leur sandbox marche, ça parait assez naturel non?

              Chez Redhat il n'aurait pas été obligé de passer par un tel process pour prouver qu'il y a problème.

              Chez Apple non plus, la preuve il a fait des reports a Apple par le passe et a été ecoute...

              If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

    • [^] # Re: Les Charlie subissent en ce moment.

      Posté par . Évalué à -8.

      Tu crois que s'il bossait chez apple, il aurait été suffisamment idiot pour diffuser sont proof of concept sur l'appstore plutôt que de filer un bug en interne?

      Le monsieur est chercheur independant et a viole une des règles sacrées de l'AppStore (ne pas telecharger de code depuis l'extérieur), c'est pas très étonnant qu'il se fasse kicker du store.
      Disons que bosser dur pour violer une des conditions les plus critique/importante du store et ensuite venir le fanfaronner en public, faut pas s'attendre a ce qu'apple lui envoi un cheque pour le remercier.

      Meme si l'exploit est joli et très interesant, la façon de procéder fait très "je veux avoir mon nom sur tous les sites tech qui cherchent du sensationnel croustillant sur apple le méchant qui censure".

      If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

  • # Nos ?

    Posté par (page perso) . Évalué à -2.

    Charlie Miller peut fouiller vos données iPhone et iPad

    C'est de la provocation, ça. Les données des iPhone et des iPad des gens qui en ont, mais a priori ça ne devrait pas être le cas de beaucoup de libristes. En tout cas, je trouve insultant de suggérer que le lecteur en a un a priori. À moins que ce ne soit de l'ironie du vendredi^jeudi précédent un vendredi férié.

    • [^] # Re: Nos ?

      Posté par . Évalué à 4.

      C'est sur que pour avoir des données iPhone et iPad faut avoir un des joujous d'Apple. J'ai recopié le titre de l'article original, qui n'est pas forcément à destination des libristes.

      T'as pas l'impression d'enfoncer une porte ouverte là avec ton commentaire ? :)

    • [^] # Re: Nos ?

      Posté par (page perso) . Évalué à 1.

      Pour le défendre, on pourrait dire que l'on on envoie des données à un iTruc (SMS, Appels, ...) donc grâce à cette faille, des hackers pourraient avoir accès à (une partie) de nos données privées.

      « En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll

      • [^] # Re: Nos ?

        Posté par . Évalué à 2.

        Vus les sites spécialisés qui tournent bien, et qui se payent le culot de mettre à jour régulièrement leur vitrine de trucs volés, c'est loin d'être le premier a être "capable" de voler des données privées sur un iTruc...
        Là, c'est juste que c'est un "chercheur en sécurité", officiel, avec une cravate, et pas un ado russe qui veut se faire un peu de fric pour payer un voyage à venise à sa copine. C'est tout.

    • [^] # Re: Nos ?

      Posté par . Évalué à -10.

      Ben d'un autre cote, les données des androids si chers au libristes sont deja aux mains des botnets et autres virus qui commencent a infecter le market de google, donc on pourrait comprendre que certains se réfugient chez apple pour un peu de sécurité.

      If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

  • # Mais...

    Posté par (page perso) . Évalué à 2.

    Mais où est Charlie?

    Prochainement, je vous proposerai peut-être un commentaire constructif.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.