Apple corrige une faille de sécurité liée à la sandbox d’iOS 13.5
iOS 13.5 n’est pas exempt de failles. L’une des plus récentes concerne la sandbox, soit la zone d’encapsulation d’une app qui la rend normalement étanche à tout le reste et la protège donc des attaques et autres méchants virus. Le chercheur en sécurité qui a découvert la faille « Psychic Paper » (une référence à Doctor Who) note que cette dernière permettait de s’affranchir des limites de la sandbox et aurait donc pu servir de passerelle pour un malware désireux d’infester le système (aka coronamalware –> Joke).
Dans le détail, une app se faisant passer pour un app native iOS aurait pu exploiter la faille afin d’obtenir un large accès à l’ensemble du système et surtout aux données personnelles enregistrées dans l’iPhone ou l’iPad. Le chercheur-découvreur de la faille est ainsi parvenu à tromper iOS avec un simple fichier XML contenant de l’exécutable, un fichier qui n’a pas été « rejeté » par iOS et qui aurait donc pu potentiellement servir de véritable cheval de Troie à un virus ou un malware invasif. Fort heureusement, Apple a été prévenu de cette belle faille critique, et a déjà apporté un correctif.
Alors, c’est juste que le xml permet à l’app de demander le droit de sortir de la sandbox et qu’iOS ne lui refuse pas.
L’article original. https://siguza.github.io/psychicpaper/