Les règles de l’App Store d’Apple impliquent que tous les navigateurs des iPhones et iPads doivent utiliser WebKit, ce qui fait de ce type de bogue un véritable problème inter-navigateurs pour les appareils mobiles d’Apple.
Les bogues d’exécution du code du noyau sont inévitablement beaucoup plus graves que les bogues au niveau des applications, car le noyau est responsable de la gestion de la sécurité de l’ensemble du système, y compris des autorisations que les applications peuvent obtenir et de la liberté avec laquelle les applications peuvent partager des fichiers et des données entre elles.
Ironiquement, les bogues au niveau du noyau qui dépendent d’une application piégée ne sont souvent pas très utiles pour les utilisateurs d’iPhone ou d’iPad, car les règles strictes de l’App Store d’Apple font qu’il est difficile pour les attaquants de vous inciter à installer une application malveillante en premier lieu.
Même si vous le souhaitez, vous ne pouvez pas sortir du marché et installer des applications provenant d’une source secondaire ou non officielle. Les escrocs doivent donc d’abord introduire en douce leur application dans l’App Store avant d’essayer de vous convaincre de l’installer.
Ce qui est inquiétant à propos de ces deux bogues, c’est non seulement qu’il s’agit de failles «zero day», c’est-à-dire que les attaquants les ont trouvées et les utilisaient déjà avant que des correctifs ne soient trouvés, mais aussi qu’elles ont été signalées par «Clément Lecigne du groupe d’analyse des menaces de Google et Donncha Cearbhaill du laboratoire de sécurité d’Amnesty International».
Apple ne donne pas plus de détails que cela, mais il n’est pas difficile de supposer que ce bogue a été repéré par des militants d’Amnesty pour la protection de la vie privée et la justice sociale, et qu’il a fait l’objet d’une enquête de la part des responsables de la réponse aux incidents chez Google.
