Read, Watch or Listen

La société de sécurité basée aux États-Unis, Paradigm Shift, a divulgué une preuve de concept d'exploit, baptisée « usbliter8 », qui cible une vulnérabilité critique de SecureROM dans les processeurs A12 et A13 d'Apple. La faille réside dans la mémoire morte (ROM) gravée dans la puce au moment de sa fabrication, ce qui signifie qu'elle ne peut être modifiée ou corrigée par des mises à jour logicielles d'iOS. Par conséquent, les appareils concernés restent définitivement exposés à cette classe d'attaques pendant toute la durée de vie du matériel. L'exploit usbliter8 permet une exécution de code arbitraire lors des premières étapes du processus de démarrage, donnant à un attaquant le contrôle de l'appareil avant le chargement du système d'exploitation et de ses protections, et rendant inefficaces les mesures de sécurité ultérieures telles que le sandboxing et les défenses du noyau. Des analystes américains signalent que les puces A12 et A13 vulnérables équipent une large gamme de produits Apple toujours actifs, notamment l'iPhone XS, la série iPhone 11 et plusieurs modèles d'iPad. Les chercheurs indiquent qu'une attaque réussie nécessite généralement un accès physique à l'appareil ou une connexion spécialisée via le port Lightning ou USB, ce qui peut limiter l'exploitation à distance à grande échelle mais n'élimine pas le danger sous-jacent. Ils avertissent que la permanence de la faille au niveau matériel présente un risque important à long terme, en particulier pour les utilisateurs et les organisations opérant dans des environnements de haute sécurité. Apple n'a pas encore publié de déclaration publique formelle sur cette divulgation, tandis que les défenseurs de la vie privée décrivent ce cas comme un exemple de la persistance des vulnérabilités matérielles tout au long de la vie d'un produit.

Prepared by Jonathan Pierce and reviewed by editorial team.