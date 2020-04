La société de cybersécurité Volexity a déclaré mardi avoir découvert un nouvel exploit iOS qui a récemment été utilisé pour surveiller la minorité musulmane ouïghoure en Chine.



Une illustration du fonctionnement de l’insomnie. | Source: Volexity

En juillet 2019, Apple a corrigé une poignée de vulnérabilités de sécurité dans son système d’exploitation mobile avec la mise à jour iOS 12.4, y compris plusieurs failles dans WebKit. Mais les chercheurs de Volexity ont déclaré qu’au moins un de ces défauts était activement exploité dans la nature en 2020.

L’exploit, que Volexity a surnommé «Insomnie», a été chargé sur les appareils des utilisateurs après avoir visité des sites Web sur le thème de la minorité ouïghoure de Chine. Les attaquants ont ensuite utilisé l’exploit, qui leur accordait un accès root aux appareils des utilisateurs, pour voler des messages en clair de divers clients de messagerie, des courriels, des photos, des listes de contacts et des données de localisation GPS.

Il semblerait que l’exploit d’Insomnia ait été utilisé dans la nature entre janvier et mars 2020.

Volexity a déclaré que l’exploit avait été déployé par un groupe de piratage qu’ils ont appelé Evil Eye, qu’ils croient être une tenue parrainée par l’État opérant au nom de la Chine pour espionner la minorité ouïghoure.

Le groupe de piratage serait également l’acteur de la menace derrière une liste similaire d’exploits de surveillance iOS découverts par Google et Volexity en août 2019. Ces exploits étaient utilisés pour espionner les Ouïghours en Chine depuis au moins 2016.

Par rapport aux exploits précédents, Insomnia a été étendu pour cibler et inclure des communications chiffrées de bout en bout à partir d’applications comme ProtonMail et Signal. Les chercheurs pensent que cela suggère que les Ouïghours étaient au courant de la surveillance en cours et prenaient des mesures pour protéger leurs communications.

Comme Insomnia est un exploit basé sur WebKit, il fonctionne sur n’importe quel navigateur fonctionnant sur un appareil iOS. Les chercheurs ont confirmé que les navigateurs Safari, Chrome et Microsoft Edge étaient vulnérables, ce qui signifie que tout utilisateur iOS qui a visité les sites Web sur le thème ouïghour pourrait être infecté.

La vulnérabilité WebKit était présente dans iOS 12.3, iOS 12.3.1 et iOS 12.3.2, mais iOS 12.4 et les versions plus récentes sont sûres. Il convient de noter qu’Insomnia n’a pas atteint la persistance sur un appareil, ce qui signifie qu’un simple redémarrage suffit pour supprimer son code malveillant.