Récemment, une vulnérabilité de sécurité a été mise en lumière concernant le contrôleur USB-C des iPhone 15 et 16. Bien que son exploitation soit d’une complexité remarquable, tant Apple que le chercheur à l’origine de la découverte affirment qu’elle ne représente pas une menace tangible pour les utilisateurs.
Cependant, une autre préoccupation mérite notre attention. Des fraudeurs s’emparent de diverses tactiques pour contourner les protections mises en place par Apple, ce qui pourrait exposer les utilisateurs à des risques réels. Faisons le point sur ces enjeux de sécurité prévalents et les moyens d’y faire face.
Une vulnérabilité dans le contrôleur USB-C des iPhone
Le chercheur en sécurité Thomas Roth a découvert une vulnérabilité critique au sein de la puce de contrôle USB-C intégrée pour la première fois dans la chaîne d’approvisionnement d’Apple en 2023. De manière théorique, celle-ci pourrait compromettre iPhone et rendre son exploitation possible.
Les spécialistes de la sécurité ont réussi à pirater le contrôleur USB-C ACE3, introduit avec l’iPhone 15 et l’iPhone 15 Pro. Cette puce représente une avancée décisive, car elle gère l’alimentation électrique et agit comme un microcontrôleur sophistiqué, avec accès à des systèmes internes critiques.
En utilisant des signaux électromagnétiques mesurés lors du démarrage de la puce, l’équipe de Roth a réussi à contourner les vérifications de validation du firmware. En injectant des défauts électromagnétiques à un moment clé, ils ont réussi à démarrer un patch de firmware modifié sur le CPU de la puce.
théoriquement, un attaquant pourrait alors prendre le contrôle total d’un iPhone. Toutefois, cette manœuvre nécessiterait un accès physique à l’appareil et s’avère très difficile à réaliser. Après examen de cette méthode, Apple a conclu qu’il ne s’agissait pas d’une menace réaliste, un avis partagé par Roth.
Tactiques des fraudeurs sur iMessage
Les escrocs exploitent largement les SMs et les iMessages pour transmettre des liens en vue de phishing et tenter d’installer des malwares sur les iPhones. Afin de préserver les utilisateurs, Apple a intégré des protections lors de la réception de tels messages.
Ainsi, si un iMessage provient d’un numéro non répertorié dans les contacts et que vous n’avez jamais échangé auparavant, votre appareil désactive automatiquement les liens présents. Ils apparaissent comme du texte brut et ne peuvent pas être cliqués.
Néanmoins, les fraudeurs ont trouvé comment contourner cette protection. Si un message obtient une réponse, même par le biais d’une commande STOP, ils parviennent à débloquer les liens. BleepingComputer souligne qu’une simple réponse fait considérer l’expéditeur comme légitime, ce qui annule la protection.
Selon Apple, répondre à ce message ou ajouter l’expéditeur à votre liste de contacts permet d’activer les liens.
Ces dernières semaines, une recrudescence des attaques par smishing a été signalée, cherchant à tromper les utilisateurs pour qu’ils répondent à des messages. Des exemples incluent de faux textos prétendant provenir de sociétés comme USPS, sollicitant une réponse.
Fraudes E-ZPass générées par des kits de phishing
Une étude récente de Krebs on Security a révélé qu’une vague de messages frauduleux liés à E-ZPass et à d’autres péages trouve ses origines dans un kit de phishing venu de Chine. Une telle montée en puissance des SMs indésirables coïncide avec des mises à jour apportées à ce kit commercial.
Les chercheurs notent que ces nouvelles fonctionnalités facilitent la création d’appâts trompeurs, simulant des opérateurs de péages dans plusieurs États américains.
Pour se prémunir contre ces menaces, il est primordial de suivre certaines pratiques de sécurité. Évitez de cliquer sur des liens transmis par message si vous n’attendez pas de communication spécifique. L’idéal reste d’utiliser vos propres signets ou de taper les URLs manuellement, avec une prudence particulière concernant la légitimité des messages reçus.
Photo: Netcost-security.fr