Sur iPhone, un nouveau malware vous épie via la caméra (même si vous pensez l'avoir éteinte)

07 janvier 2022 à 17h36
16
iphone12pro
Photo © Pierre Crochart

Un nouveau cheval de Troie imputé à iOS et à l'iPhone a été découvert par des chercheurs en cybersécurité. Celui-ci serait capable de simuler l'extinction (électrique) de l'appareil et d'utiliser sa caméra, même lorsqu'il est éteint.

C'est une start-up californienne spécialisée dans l'analyse des cyberattaques mobiles, ZecOps, qui a fait cette découverte. Elle est parvenue à démontrer qu'un nouveau malware peut être exploité sur iOS et qu'il permet aux attaquants de faire des choses « amusantes ». Ce nouveau cheval de Troie est en effet capable de donner l'illusion à son utilisateur que son iPhone est éteint, alors qu'il est en réalité en train de l'espionner à l'aide de son microphone et de sa caméra. Difficile de faire mieux en matière de malware persistant.

Vous pensiez votre iPhone éteint…

La théorie (mais vous savez ce qu'on en dit !) veut que généralement, après avoir supprimé un logiciel malveillant de son appareil iOS, il suffit de redémarrer ce dernier pour définitivement effacer de sa mémoire les traces du malware. Sauf que l'équipe de chercheurs de ZecOps s'est aperçue que l'iPhone était faillible à ce niveau-là, et que n'exploitant pas une faille de la plateforme iOS, elle ne peut pas être corrigée par Apple.

Quelle est l'originalité de ce malware, dont ZecOps est parvenu à prouver l'efficacité ? On pourrait presque parler de magie, car ce trojan peut empêcher l'utilisateur de redémarrer manuellement son iPhone infecté, tout en faisant croire à son propriétaire que le téléphone a bien été éteint puis redémarré. Ce tour de passe-passe, qui fait du malware un petit diable persistant, lui a donné son nom : « NoReboot ».

Mais comment parvient-il à empêcher l'arrêt véritable de l'appareil tout en simulant le redémarrage ? Les spécialistes arrivent en réalité à « détourner l'événement d'arrêt de l'appareil ». En fait, au lieu d'arrêter l'iPhone, le malware va injecter du code dans des démons iOS : InCallService, SpringBoard et BackBoardd. Généralement, InCallService envoie un signal d'arrêt à SpringBoard, quand vous éteignez manuellement votre iPhone. Sauf qu'ici, InCallService n'envoie pas le signal à SpringBoard, mais il demande à SpringBoard et BackBoardd d'exécuter le code injecté dont nous parlions.

Les démons modifiés par NoReboot
Les démons modifiés par NoReboot (© ZecOps)

Un malware qui use de fourberie et de contournement pour donner l'illusion de l'extinction et du redémarrage de l'appareil

La combine fonctionne jusqu'au bout, et le cheval de Troie poursuit le processus d'arrêt, jusqu'à la roue qui tourne, qui disparaît très rapidement et crée cette illusion du téléphone éteint. Sauf que l'iPhone est toujours allumé et connecté à Internet, même s'il ne répond plus. En réalité, seuls les signaux audio et visuels sont désactivés, comme l'écran, le vibreur ou le son.

Une fois le tour de passe-passe validé, que peuvent faire les attaquants ? Pendant que vous pensez que votre téléphone est éteint, l'attaquant peut tout simplement utiliser votre caméra et votre microphone. Le malware, qui tient plus du contournement, de la tromperie que de la vulnérabilité iOS, se contente alors d'un rôle - déjà suffisamment grave - d'espion. Surtout que NoReboot peut aussi simuler le redémarrage de l'appareil.

Le cheval de Troie joue encore avec les démons iOS. Si le propriétaire de l'iPhone décide de redémarrer le téléphone encore en marche, le Backboardd, calé sur les saisies de l'utilisateur, peut simuler un redémarrage, allant même jusqu'à afficher le logo Apple, comme il a affiché la roue qui tourne au moment de la fausse extinction. En faisant croire à l'extinction et au redémarrage de l'appareil, le malware est ainsi persistant.

Malwarebytes explique de son côté que « ce n'est qu'une question de temps avant que les hackers sévissant sur iOS commencent à l'intégrer dans leurs kits de logiciels malveillants ». Dans le cas où vous redoutiez avoir été compromis, votre persistance sera plus forte que celle du malware. Ainsi, même après l'apparition du logo Apple, maintenez les boutons de redémarrage enfoncés et passez au-dessus de la supercherie, ce qui finira par vraiment éteindre, puis redémarrer l'iPhone.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
16
13
flonc
Redémarrer ne supprime pas vraiment les virus. Au mieux ça va tuer les taches non persistantes.<br /> Pour supprimer un virus:<br /> vider le cache si c’est limité au browser<br /> supprimer l’appli malveillante si c’est une app<br /> factory reset si la configuration est compromise<br /> Dfu reset si l’os ou les firmware sont compromis. De préférence sans restauration ou avec une qui précède la date de compromission<br /> changer de téléphone et de compte si situation vraiment critique.<br /> Les téléphones sont du hardware et du code comme tout le reste et peuvent être compromis à tous les niveaux. Il n’y a pas de magie
Kriz4liD
Une simple mise à jours fera certainement l’affaire.
tfpsly
Si ce machin bloque les redémarrages, il doit bien pouvoir bloquer les màj.
Thx
Sauf que le tel ne demande ni code pin ou code de déverrouillage au redémarrage ce qui est un peu louche …
HAL1
Waow, à la fois effrayant mais aussi impressionnant ! Sachant que le grand public se fait déjà tromper par des imitations de fenêtres sur le Web, on peut imaginer les dégâts que ferait un tel logiciel malveillant.<br /> Sinon, on s’aperçoit encore une fois que la soit-disant sécurité supérieures d’iOS n’est qu’un mythe.
Infinity205
Ceci n’est pas spécifique as Apple ,toute personne qui possède un appareil qui contiens une caméra peux être surveillé et épié as distance. C’est pour ça que beaucoup de monde mettent des caches sur leur caméras. D’ordis notamment hein.
crush56
Je crois que tu n’as pas totalement saisis l’article
zeebix
Oui c’est possible sur tout appareil, mais ici c’est du concret, pas une histoire de peur, méfiance ou parano.<br /> Comme quoi iOS c’est au final pareil qu’un Android, et ce en seulement moins d’un an 2 problèmes de sécurités plutôt important.
HAL1
Infinity205:<br /> Ceci n’est pas spécifique as Apple […]<br /> Un conseil : lis l’article avant de poster un commentaire, ça t’évitera de raconter des bêtises.
Blackalf
On ne va pas relancer une enième bataille entre pro-Apple et anti-Apple, on sait comment ça tourne à chaque fois.
Doss
Qu’un malware existe c’est une chose mais la question c’est comment peut il infecter les utilisateurs qui passe exclusivement par l’app store ?<br /> Ce malware semble etre un poc non exploté car pas telechargable via l’app store. Donc comparon ce qui est comparable
HAL1
Doss:<br /> […] comment peut il infecter les utilisateurs qui passe exclusivement par l’app store ?<br /> Je n’ai vu nul part dans l’article la mention comme quoi ce logiciel malveillant devait exclusivement passer par l’App Store.
tfpsly
Pegasus a démontré qu’il suffisait de recevoir un iMessage corrompu pour pourrir le système. Brèches corrigée par iOS 15 seulement fin septembre. Perso, je n’ai aucune confiance en iOS et sa sécurisation «&nbsp;fermée&nbsp;».
Blackalf
Blackalf:<br /> On ne va pas relancer une énième bataille entre pro-Apple et anti-Apple, on sait comment ça tourne à chaque fois. <br /> Qu’est-ce que je disais…j’aurais sans doute du écrire «&nbsp;énième bataille entre Apple et Androïd&nbsp;» ?<br /> Or je ne crois pas que le sujet concerne cette comparaison.
benben99
C’est très gênant cette nouvelle pour Apple…
Jsp75
Ça prouve qu’un environnement fermé avec un hardware sur mesure, ça ne protège pas forcément n’en déplaise à Tim Cook qui tapait avec joie sur Android.<br /> Nb: j’ai un iPhone, ça m’empêchera pas de dormir.
Infinity205
Pareil pour toi. Chez la concurrence,t’es aussi surveillé. Le nié serait du déni de la réalité. Un téléphone ne t’appartient jamais réellement complètement. Ne t’en déplaise.
Infinity205
Non pas vraiment. Ils savent.
HAL1
Infinity205:<br /> Pareil pour toi.<br /> Bravo pour cette réponse digne d’un niveau «&nbsp;cours de récréation&nbsp;». <br /> Infinity205:<br /> Chez la concurrence,t’es aussi surveillé.<br /> Sauf que ce n’est pas le sujet de l’article, qui parle d’une faille de sécurité spécifique à iOS et qui, jusqu’à preuve du contraire n’existe pas chez «&nbsp;la concurrence&nbsp;». Chose que tu aurais comprise si, encore une fois, tu avais lu l’article.<br /> Infinity205:<br /> Un téléphone ne t’appartient jamais réellement complètement.<br /> À part n’avoir aucun rapport avec la discussion et être de catégorie «&nbsp;complotisme délirant&nbsp;», sur quoi cette affirmation se base-t-elle ?
Infinity205
Avec un téléphone, tu n’es pas libre de faire ce que tu veux. Tout le monde le sait. Problème de garantie etc… c’est pas du complot,juste la réalité la plus parfaite.
Voir tous les messages sur le forum

Derniers actualités

Waze est tellement utilisée en France qu'elle va être intégrée au système des Renault
Après Phantom Liberty, Cyberpunk aura droit à une édition GOTY !
La mission Artemis I a pris le chemin du retour vers la Terre
Comment réaliser sereinement vos achats de Noël avec l'antivirus Bitdefender ?
Découvrez le prix mini de cette clé USB Kingston de 128 Go
Pour 2023, Microsoft prend une résolution qui risque d'agacer les joueurs Xbox
Pourquoi Apple va rapatrier une partie de sa production en Inde
Et le meilleur cadeau à offrir selon Thomas Pesquet à Noël est...
Craquez pour l'excellent Nothing Phone (1) en promotion actuellement chez Amazon
Profitez de cette solution de nettoyage pour Mac à prix réduit pour Noël !
Haut de page