Free Mobile, suivez l'actualité du nouvel opérateur mobile

businessMOBILE.fr en version mobile Accédez à la version mobile de businessMOBILE.fr

A ne pas manquer

iPhone: une première faille de sécurité dans son navigateur Safari

par Renaud Hoffman , ZDNet France. Publié le 16 avril 2008

Tags: ,,,

Selon Radware, un fournisseur de solutions intégrées de distribution d'applications, le navigateur intégré à l'iPhone dans sa version la plus récente 1.1.4 - Safari - est vulnérable à une attaque par saturation (Denial of Service).

"Nous avons confié un iPhone à notre équipe de recherche spécialisée, dans notre centre de sécurité opérationnelle", explique Ron Meyran, le responsable marketing produits des solutions de sécurité chez Radware. "L'idée était de le tester pour évaluer ses capacités de mémoire et sa réaction aux JavaScript.

Safari est vulnérable à ces attaques DoS en raison d'une faille de conception, qui peut être exploitée suite à une série d'opérations d'allocation dans le pool de mémoire dynamique, ce qui déclenche alors un bogue dans le gestionnaire de corbeille", précise-t-il.

Comme toutes les attaques de ce type, la vulnérabilité, bien que réelle (elle affecte le bon fonctionnement de Safari jusqu'à figer l'iPhone, mais il suffit de relancer l'application ou l'iPhone pour s'en débarrasser), n'affecte cependant pas tous les utilisateurs.

Il faut ainsi se retrouver dans des conditions spécifiques, notamment en ouvrant une page HTML contenant du code JavaScript, avec l'attaque. Ce qui suppose de surfer là où il ne faut pas en premier lieu, puisqu'un site "propre" ne délivrera (normalement) pas de code JavaScript "agressif".

Une preuve de faisabilité

"Pour l'heure, cette attaque - véritable - relève de la preuve de faisabilité, mais elle démontre combien il est facile de trouver des failles dans l'iPhone. A terme, et à mesure que les terminaux mobiles vont se développer, il est à craindre que ce type d'attaques devienne légion (keylogger, chevaux de Troie, etc.)", insiste M. Meyran.

Parfois néanmoins, il peut arriver qu'à la suite d'une manœuvre d'ingénierie sociale (courriel de spam ou SMS de spam), l'utilisateur se trouve confronté à un DoS applicatif, suivi d'un terminal inutilisable.

Il semblerait qu'aucun correctif n'existe actuellement: les propriétaires d'iPhone restent donc vulnérables à de possibles attaques, tant qu'Apple n'aura pas publié un patch (programme correctif).

Retrouvez sur BusinessMobile.fr notre page spéciale consacrée à l'iPhone.

À lire aussi
Suivez facebook Flux RSS Newsletters businessMOBILE.fr

RéagissezRéagissez - 1 commentaire

  • #1 - par Grapsus  le 2008/04/17 04:01:23

    Je ne suis pas un fanatique d'Apple, mais ce genre de "vulnerabilités" ne démontre strictement rien. Quasiment n'importe quel appareil peut être saturé par sa couche réseau, même un PC. Alors imaginez un téléphone aux ressources encore plus réduites. Tout ceci ne débouche que sur un débordement du tas (heap overflow) qui ne permet pas (dans la quasi-totalité des cas) une exécution de code arbitraire.

    signaler au modérateur  répondre

Votre commentaire

Vous n'êtes pas identifié
Pour participer à la discussion, vous devez être membre de businessMOBILE.fr et être identifié.

Afin de garantir un bon esprit de participation, les modérateurs de businessMOBILE.fr se réservent le droit de supprimer/modifier tout message considéré comme publicitaire, hors-sujet ou abusif (notamment en cas de commentaire diffamatoire ou injurieux).

Dernières News

Plus de News & blogs

Copyright © 2011 CBS Interactive. All Rights Reserved. Confidentialité

À propos de CBS Interactive | businessMOBILE recrute