Jailbreak d’iOS 13.5 et risques pour les entreprises

Mise à jour du 03/06/2020 : Apple a publié la version 13.5.1 d’iOScorrigeant la vulnérabilité noyau cité dans ce billet de blog et référencée CVE-2020-9859 https://support.apple.com/en-us/HT211214..

Apple vient de publier la version 13.5 de son système d’exploitation iOS : https://support.apple.com/en-us/HT210393

Cette nouvelle version, parfois qualifiée de « spécial COVID-19 », intègre l’API Exposure Notification permettant aux applications de tracer les personnes ayant été proches de vous.

Tous les détails ne sont pas encore publiés à ce jour, mais elle inclue surtout :

• Le correctif pour une faille de sécurité qui permettait à une application de sortir du cloisonnement d’iOS (sandbox) et d’accéder ainsi à des données autres que celles autorisées https://siguza.github.io/psychicpaper/ ;
• Le correctif pour les fameuses failles de l’application Mail, qui permettaient de compromettre un iPhone ou iPad par l’envoi d’un simple email (cf. « Sécurité Vulnérabilités critiques sur l’application Mail d’Apple iOS » (à noter que iOS 12.4.7 nouvellement sorti, corrige aussi ces vulnérabilités))

Pour les équipements encore supportés, je vous recommande fortement l’installation de cette mise à jour 13.5.

Pour les anciens équipements, Apple a « généreusement » publié un correctif sur sa branche 12 avec iOS 12.4.7. Je vous recommande donc aussi d’installer cette version pour les iPhone 5s, 6, 6 Plus, iPad Air, mini 2, mini 3 et iPod touch de 6eme génération : https://support.apple.com/fr-fr/HT209084#1247

Le groupe unc0ver avait annoncé attendre la sortir d’iOS 13.5 pour publier la nouvelle version de son outil de jailbreak.

Apple ayant publié iOS 13.5, unc0ver a publié la version 5.0.0 de son outil de jailbreak, suivi rapidement d’une version stable 5.0.1, corrigeant quelques problématiques : https://github.com/pwn20wndstuff/Undecimus/releases et https://www.unc0ver.dev/

Cet outil permet permet de jailbreaker (déverrouiller) tous les appareils Apple tournant sur iOS des versions 11 à 13.5 c’est-à-dire :

• iPhone 11, 11 Pro, 11 Pro Max, XR, XS, XS Max, 8, 8 Plus, 7, 7 Plus, 6S, 6S Plus, SE, 6, 6 plus
• iPad Pro 2018, 1ère génération, 2e génération, 10,5 pouces
• iPad 7ème, 6ème et 5ème génération
• iPad Mini 4, Air 2, Air 3 Ce jailbreak se repose sur la vulnérabilité checkm8 déjà évoquée précédemment mais également sur une vulnérabilité noyau découverte par pwn20wnd (https://twitter.com/pwn20wnd) permettant de déverrouiller spécifiquement iOS 13.5.

L’outil de jailbreak étant publié, il n’aura pas fallu attendre longtemps pour que d’autres l’analysent afin d’en extraire la vulnérabilité noyau. C’est le cas de l’entreprise Russe ElcomSoft, qui a déjà communiqué sur l’intégration de la vulnérabilité dans ses outils :

L’outil de jailbreak nécessite d’avoir un accès physique au terminal et de disposer du code pour le déverrouiller mais cela présente tout de même un risque vis-à-vis des équipements Apple en entreprise et pour les particuliers, ne les oublions pas 😉. Il existe également un moyen de jailbreaker iOS 13.5 sans passer par un ordinateur et donc sans accès physique au sens « brancher un câble », en utilisant les sortes de magasins alternatifs d’applications, permettant d’ajouter des magasins internes d’applications, principalement pour les entreprises (enterprise store).

Il faut installer dans les profils de confiance de son iPhone ou iPad comme :

• zJailbreak
• Xabsi
• Cokernutx https://www.cokernutx.com/ Tous les détails sont ici : https://yalujailbreak.net/jailbreak-ios-135-without-computer/

Cette technique nécessite de disposer d’un iPhone ou iPad déverrouillé (ou avec le code) et disposant d’un accès à Internet (ou un WiFi relayant un accès Internet) mais ce n’est pas « zero click » comme pourrait l’être l’enchainement des vulnérabilités Mail et une noyau.

A noter que la méthode de jailbreak utilisant Cydia Impactor ne fonctionne plus vraiment depuis l’automne 2019 car Apple a changé le fonctionnement des signatures des applications, ne permettant plus d’avoir de compte gratuite et nécessitant donc un compte développeur payant : https://twitter.com/saurik/status/1196888477830221824

Il est important de préciser que nous ne parlerons ici que des vulnérabilités connues et dont les codes d'exploitation sont publics ou quasiment. Des vulnérabilités inconnues, il y'en a des tas, à tel point que certains programme d'achat et revente de vulnérabilités ont temporairement arrêté l'achat de vulnérabilités iOS (à prendre avec du recul car il s'agit aussi d'un effet d'annonce):

Les iPhones et iPad non à jour (des correctifs de sécurité) sont vulnérables principalement à deux vulnérabilités connues : celle sur Mail et cette nouvelle vulnérabilité noyau. Les risques sont donc nombreux et le principal est la compromission à distance de l'appareil, ou avec un accès physique, aboutissant à la fuite de données sensibles (passant, accessoirement, par une prise de contrôle de l'appareil, l'injection d'une porte dérobée...).

Les iPhones et iPad à jour sont vulnérables à cette vulnérabilité noyau. Le principal risque est quasiment le même avec un forte limitation sur la compromission à distance. Pour revenir sur une exploitation à distance, il faudrait par exemple disposer d'une vulnérabilité sur le navigateur Safari (il en existe beaucoup 😉, et contourner les nombreuses mesures de sécurité d’iOS, ce qui n'est pas non plus trivial).

Vivement la version d’iOS 13.5.1 😉.

Ambiance chez Apple en ce moment :