Les chercheurs en sécurité de « Project Zero » de Google ont révélé récemment qu’un ensemble de sites web avait été piratés pour permettre à des hackers de diffuser des logiciels malveillants sur les iPhone. Les pirates auraient installé des malwares " zero interaction " au niveau des sites non nommés qui recevaient des milliers de visiteurs chaque semaine. Le fait de simplement visiter ces plateformes sans même cliquer sur une icône installait un malware sur les iPhones des utilisateurs. Les chercheurs de Google ont remarqué que les malwares pouvaient être utilisés pour voler des données privées telles que les iMessages et les photos ou pour connaître la localisation GPS d’un appareil en temps réel. Ces malwares étaient également en mesure d’accéder aux mots de passe des utilisateurs et aux fichiers de base de données contenant le texte en clair des messages envoyés et reçus dans les applications de messagerie telles que Google Hangouts ainsi qu’aux applications chiffrées de bout en bout comme WhatsApp, iMessage et Telegram.
Le logiciel malveillant peut être effacé si l’iPhone est redémarré. Toutefois, les informations recueillies pendant l’attaque laissaient l’appareil et son utilisateur vulnérables aux piratages. L’équipe « Project Zero » de Google a déclaré avoir découvert 5 chaines d’exploitations en utilisant 14 vulnérabilités. Ces dernières années, le nombre d’exploits Apple découverts a fortement augmenté. Vers la fin du mois de juillet, Project Zero a identifié 6 bugs de sécurité" zero interaction " pouvant être exploitées via iMessage dont seulement 5 ont été corrigées par Apple. De nouvelles vulnérabilités au niveau de SQLite ont également été découvertes ce mois-ci.