Selon un billet publié sur Gizmodo, une grave faille de sécurité sur iOS 3.1.2 et les versions plus récentes (iOS 4 incluse) permet la prise de contrôle d'un iPhone suite au simple fait d'ouvrir un fichier PDF en ligne. L'iPad et l'iPod touch ne sont pas exclus, un hacker peut contrôler l'appareil suite à un simple clic...

Au début, l'information ne concernait qu'iOS4, mais une mise à jour sur le billet indique que toutes les versions supérieures à iOS 3.1.2 sont vulnérable à l'exploit. La découverte provient de l'analyse du fonctionnement d'un outil de jailbreaking (déblocage) d'appareils équipés de iOS4 par un simple clic.

Il suffit de visiter une page Web via Safari, pour que le site charge automatiquement un document PDF contenant un font (police) camouflant un programme très spécial. Lors de la lecture du fichier par iOS, le font provoque ce qu'on appelle un « stack overflow », un scénario se déclenche permettant à un code secret dans la police de prendre le contrôle de l'appareil. Il en résulte le lancement de n'importe quel programme ou fonctionnalité dans le périphérique, y inclues la suppression des fichiers, l'envoi de données, l'installation de programmes d'espionnage, enfin tout!

En attendant la mise à disposition d'un patch de sécurité par Apple, il est fortement recommandé d'installer des programmes de contrôle qui demandent l'autorisation de l'utilisateur pour l'ouverture de tout fichier PDF appelé par le navigateur. Avec les plus de cent millions d'iPhones, iPads et iPod touch circulant dans le monde (selon Apple), le nombre de victimes risque d'être assez nombreux!