Google a révélé les détails du nouveau mécanisme de sécurité appelé BlastDoor qu’Apple a ajouté à iOS 14 comme contre-mesure pour empêcher les attaques nouvellement découvertes de tirer parti des failles de son application de messagerie.
L’un des changements majeurs dans iOS 14 est l’introduction du nouveau service BlastDoor qui est désormais responsable de toutes les analyses de données non fiables dans iMessages.
De plus, ce service est écrit en Swift, qui est un langage ,principalement, sûr pour la mémoire, ce qui rend incroyablement difficile la saisie des vulnérabilités classiques dans la base de code.
Ce développement est le résultat d’un exploit qui a profité de la vulnérabilité iMessage dans iOS 13.5.1 pour contourner les protections de sécurité dans le cadre d’une campagne de cyber espionnage ciblant les journalistes l’année dernière.
Nous ne pensons pas que l’exploit fonctionne sur iOS 14, qui comprend de nouvelles protections de sécurité, ont déclaré les chercheurs de Citizen Lab qui ont révélé l’attaque le mois dernier.
Quelle est la fonction de Blast Door ?
BlastDoor constitue le cœur de cette nouvelle protection de sécurité. Lorsqu’un iMessage entrant arrive, il passe par un certain nombre de services, dont le plus important est l’APSD et un processus d’arrière-plan appelé imagent, qui est chargé de décoder le contenu du message, de télécharger les pièces jointes via un service séparé et de gérer les liens aux sites Web, avant d’alerter SpringBoard pour afficher la notification.
Ce que fait BlastDoor, c’est analyser tous ces messages entrants dans un environnement sécurisé, empêchant tout code malveillant dans le message d’interagir avec le reste du système d’exploitation ou d’accéder aux données utilisateur.
En d’autres termes, le message spécialement conçu envoyé à la cible ne peut plus interagir avec le système de fichiers ou effectuer des opérations réseau, en déplaçant la majorité des tâches de traitement du processus imagent vers la fonction BlastDoor.
Le profil « Sandbox » est très étroit. Seuls quelques services IPC locaux sont accessibles, presque toutes les interactions du système de fichiers sont bloquées, toute interaction avec les pilotes IOKit est interdite et l’accès au réseau sortant est refusé.
Apple introduit une nouvelle fonctionnalité de sécurité dans le système
Dans le but de retarder le redémarrage ultérieur d’un service interrompu, Apple a également introduit une nouvelle fonctionnalité de restriction pour limiter le nombre de tentatives qu’un attaquant obtient lorsqu’il cherche à exploiter une faille en augmentant le temps entre deux tentatives consécutives d’attaque par force brute.
Avec ce changement, un exploit qui reposait sur la perturbation d’un service attaqué à plusieurs reprises nécessiterait probablement de plusieurs heures à environ une demi-journée au lieu de quelques minutes.