Des vulnérabilités XARA permettent de voler des mots de passe dans iOS et OSX

Un groupe de chercheurs de l’université d’Indiana signale qu’ils ont découvert plusieurs vulnérabilités dans Mac OS X et iOS. Mais le plus inquiétant est qu’ils ont réussi à cracker le service Keychain que le développeur utilise pour les applications et les bacs à sable dans OS X.

Le coupable est un mécanisme défaillant d’authentification qui intervient lors de l’interaction entre les applications. L’article publié par l’université indique que les failles mises en évidence permettent d’organiser des attaques à l’aide de codes d’exploitation contre les applications d’Apple et de voler le mot de passe d’accès à iCloud, les jetons d’authentification et les mots de passe d’accès aux ressources Internet stockés dans Google Chrome. L’étude a été menée par des étudiants de l’université d’Indiana avec l’aide de Tongxin Li, de l’université de Pékin, et de Xiajing Liao de l’Institut technologique de Géorgie.

Les auteurs de l’article intitulé « Unauthorized Cross-App Resource Access on MAC OS X and iOS » (PDF) ont désigné l’ensemble des défauts mis en évidence sous le nom XARA (pour Cross-App Resource Access, accès général aux ressources des applications).

A cause de XARA, un malware téléchargé sur l’ordinateur, placé dans le bac à sable et déjà soumis à l’analyse standard d’Apple, peut accéder aux données importantes des autres applications. Les auteurs de l’article expliquent que l’attaquant dispose ainsi de la possibilité de voler les informations des clients de Dropbox, Facebook, Evernote, du client de messagerie instantanée WeChat ainsi que les mots de passe stockés dans le référentiel 1Password. Un des étudiants chercheurs a déclaré à Threatpost, dans un commentaire sur la triste situation, qu’un outil d’attaque créé par le groupe de chercheurs sera prochainement proposé sur un site de démonstration ouvert au public.

D’après les résultats de l’étude, le problème principal se situe dans la faiblesse et et les défauts de mise en œuvre de liste de contrôle des accès (ACL) ainsi que dans des défauts de services d’interaction des applications Keychain et WebSocket dans OS X et URL Scheme dans OS X et iOS. Les applications dans le bac à sable peuvent supprimer des entrées aléatoires de Keychain et les recréer à l’aide de la liste ACL qui permet, à son tour, de lire les clés et les valeurs.

Le « malware » créé lors de l’étude est capable de supprimer et de recréer les entrées de Keychain. Autrement dit, il est capable de s’ajouter à la liste ACL ainsi que l’application cible. Lorsque l’utilisateur est invité à saisir à nouveau les informations d’authentification, il les enregistre, sans le savoir, dans un élément créé par un malware.

« Alors que nous tentions de comprendre l’essence du problème, nous avons découvert que dans la majorité des cas, ni le système d’exploitation, ni l’application vulnérable n’exécute comme il se doit l’authentification du partenaire d’interaction » peut-on lire dans l’article écrit par les chercheurs. « En gros, l’application n’est pas en mesure d’identifier correctement le propriétaire de l’enregistrement correspondant dans Keychain. Apple ne dispose pas d’une méthode pratique pour réaliser cette vérification. »

A en croire les auteurs de l’étude, ils ont réussi à mener une attaque contre Internet Accounts sous OS X 10.10 et à intercepter les données utilisées par cette application pour iCloud et Facebook. La vidéo, qui accompagne l’article, illustre le vol du jeton iCloud dans Keychain:

Il existe également sur YouTube des vidéos qui démontrent comment il est possible de voler des mots de passe de Chrome, des jetons de Pinterest et de Pushbullet, des enregistrements d’Evernote et des mots de passe de 1Password.

Un autre type de défaut XARA, provoqué par un défaut du mécanisme unique de répartition des ressources dans OS X qui repose sur les identificateurs BID, permet à un attaquant de « cracker un conteneur ». Lorsque les conteneurs de l’application sont dévoilés, d’autres applications peuvent facilement en explorer le contenu et, par conséquent, intercepter les informations de l’application qui fonctionne dans le bac à sable, qu’il s’agisse d’Evernote, de Tumblr ou de WeChat.

« Quand l’application cible est lancée, le système d’exploitation confirme chaque fois l’existence du répertoire avec le BID attribué par cette application (en guise de nom) et l’application est ajoutée automatiquement à la liste ACL du répertoire » explique les chercheurs de l’université. « Le malware obtient ainsi un accès complet aux conteneurs d’autres applications, ce qui équivaut à l’élimination de l’isolement que le bac à sable est censé garantir ».

Les auteurs de l’étude reconnaissent que les failles qu’ils ont mises en évidence concernent directement OS X, toutefois, ils signalent qu’iOS n’est pas épargné. Le canal IPC Scheme est vulnérable aux interceptions, à l’instar du service Websocket. Des rapports succincts ont été envoyés à Apple en octobre et en novembre, mais les représentants de la société ont décidé que le problème, « en raison de sa nature, » ne pourrait pas être réglé avant 6 mois.

Interrogé par Threatpost, un représentant d’Apple a déclaré que la société analysait la situation.

Les chercheurs de l’université pensent que la vulnérabilité liées à iCloud a été éliminée suite à la diffusion de la dernière mise à jour stable d’OS X, mais d’après eux, les autres défauts existent toujours. « Nous avons testé OS X 10.10.3 et la version bêta 10.10.4 et nous avons vu qu’Apple a tenté d’éliminer l’erreur touchant iCloud en introduisant un nombre aléatoire à 9 chiffres en guise d’accountName » écrivent les auteurs de l’article. Ils ajoutent que les autres services, dont Gmail, utilisent toujours l’adresse de l’utilisateur en tant qu’attribut.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *