D’après l’annonce des spécialistes de la cybersécurité, il existe une vulnérabilité zero-day dans le nouveau service de relais privé iCloud d’Apple pour iOS 15, qui permet aux acteurs de menacer à obtenir les adresses IP réelles des utilisateurs en ligne. La fonctionnalité iCloud Private Relay est prévu de lancer en mardi, qui est consacré aux utilisateurs d’iPhones en version iOS 15.
Comme le service VPN, iCloud Private Relay peut crypter le trafic de navigation Web et l’envoyer grâce au relais pour masquer les contenus, la position et les adresses IP des utilisateurs. Tous les sites Web qui ont accédé ne peuvent que voir les adresses IP proxy proposées par iCloud.
Un chercheur a annoncé que nous pouvons filtrer l’adresse IP grâce à une API de navigateur, nommée WebRTC, qui permet au site Web de communiquer directement entre leurs accesseurs. C’est un également un sujet présent dans les nombreux rapport de sécurité Web.
Le WebRTC est utilisé dans le cadre de l’établissement de connectivité interactive, signifie ICE. Ce cadre demande à collecter des candidats ICE comme une adresse IP, un nom de domaine, des ports, des protocoles et d’autres données. Ensuite, le Web les renverra aux applications du navigateur.
D’ailleurs, le chercheur Sergey Mostsevenko a déclaré que la fonctionnalité Safari a transmis des candidats ICE ce qui contient l’adresse IP à l’application de JavaScript.
Il est nécessaire de passer au service VPN réel ou de déconnecter JavaScript dans le paramètre du navigateur Safari pour désactiver le WebRTC. Le développeur Sergey Mostsevenko a mentionné que la vulnérabilité de la sécurité corrige va être lancée cette semaine, mais seulement dans la version bêta de macOS Monterey.
Finalement, ce chercheur a annoncé qu’ un patch sera sorti dans le Safari sous le système iOS dans les temps prochains.
Vous pouvez accéder aux sites Web de IICS, signifie l’International Institute of Cyber Security pour comprendre bien au risque de sécurité des informations, la variante des logiciels malveillants, la vulnérabilités ainsi que la technologie des informations.
Le chercheur et développeur Sergey Mostsevenko est considéré comme un professionnel très connu dans le domaine de la sécurité mobile et l’analyse des logiciels malveillants. Il fait des études sur l’informatique à NYU et devient un analyste en cybersécurité en 2003. Il a aussi travaillé à Kaspersky Lab, une société de sécurité célèbre. Actuellement, Mostsevenko travaille comme un expert anti-malware avec la mission de chercher des nouveaux logiciels malveillants et de régler des incidents de cybersécurité. Il a aussi une connaissance approfondie de la sécurité et de la vulnérabilité mobile.
