Apple rétroporte le correctif Zero Day pour iOS et ajoute une alerte de suivi Bluetooth – Help Net Security
Apple a rétroporté le correctif pour CVE-2024-23296 vers la branche iOS 16 et a corrigé un bug (CVE-2024-27852) dans MarketplaceKit qui peut permettre à des pages Web conçues de manière malveillante de distribuer un script qui suit les utilisateurs iOS sur d’autres pages Web.
La société a également ajouté une nouvelle fonctionnalité à iOS 17 qui alertera les utilisateurs si un tracker Bluetooth inconnu est « vu » se déplacer avec eux.
Vulnérabilités corrigées
Apple a publié lundi des mises à jour de sécurité pour iOS et iPadOS, macOS, Safari, tvOS et watchOS.
La mise à jour pour macOS Sonoma contient des correctifs pour 22 vulnérabilités, les mises à jour pour macOS Ventura et Monterey n’en sont qu’une poignée.
Le correctif pour le RTKit zero-day (CVE-2024-23296) – qui a été corrigé dans iOS et iPadOS 17.4, macOS Sonoma, watchOS, tvOS et visionOS en mars 2024 après des rapports d’exploitation dans la nature – a été rétroporté. uniquement sur Ventura, iOS 16.7.8 et iPadOS 16.7.8 (pour l’instant).
Les utilisateurs exécutant la branche iOS et iPadOS 17 peuvent récupérer la dernière mise à jour qui corrige différentes vulnérabilités. Parmi eux se trouve CVE-2024-27852, un bug de MarketplaceKit qui pourrait permettre aux sites de suivre les utilisateurs iOS.
En mars 2023, Apple a introduit un nouveau système d’URI dans iOS 17.4 pour permettre aux utilisateurs de l’UE d’installer des applications de marché alternatives (tierces) à partir des sites Web des développeurs. Malheureusement, des défauts dans la mise en œuvre du système permettent de l’utiliser à mauvais escient pour le suivi inter-sites – comme l’ont découvert Talal Haj Bakry et Tommy Mysk de Mysk Inc..
La dernière mise à jour iOS/iPadOS pour la branche la plus récente corrigera cette vulnérabilité, mais les chercheurs ont également averti les utilisateurs de l’UE de ne pas supprimer leurs applications de marché alternatives, car la mise à jour interrompt la réinstallation des applications de marché alternatives.
« MarketplaceKit génère désormais un client_id différent à chaque fois qu’il est appelé. Désormais, les développeurs de places de marché alternatives n’ont aucun moyen d’identifier les utilisateurs qui ont déjà acheté l’application de la place de marché », ont-ils expliqué.
Avertir les utilisateurs des dispositifs de suivi Bluetooth
Apple et Google ont annoncé que les iPhones et les appareils Android 6.0+ alerteront désormais les utilisateurs de la présence de dispositifs de suivi Bluetooth inconnus.
« Si un utilisateur obtient [an ‘(Item) Found Moving With You’ alert] sur leur appareil iOS, cela signifie que quelqu’un d’autre AirTag, Find My accessoire ou tout autre tracker Bluetooth compatible avec les spécifications de l’industrie se déplace avec eux. Il est possible que le tracker soit attaché à un élément que l’utilisateur emprunte, mais sinon, l’iPhone peut afficher l’identifiant du tracker, demander au tracker d’émettre un son pour aider à le localiser et accéder aux instructions pour le désactiver », a expliqué Apple.
« Les fabricants d’étiquettes Bluetooth, notamment Chipolo, eufy, Jio, Motorola et Pebblebee, se sont engagés à ce que les futures étiquettes soient compatibles. »