IOS

Source: Jamf Threat Labs (19 février 2026). Contexte: publication d’une analyse technique d’un échantillon iOS de Predator (Intellexa/Cytrox) décrivant des mécanismes post‑compromis pour neutraliser les indicateurs d’enregistrement; il ne s’agit pas d’une nouvelle vulnérabilité ni d’un correctif, mais d’un éclairage destiné aux défenseurs. Jamf explique que depuis iOS 14, les pastilles vertes/oranges signalent l’usage de la caméra/micro. Contrairement à la technique « NoReboot » (2022) qui simulait une extinction complète, Predator garde l’iPhone pleinement opérationnel et supprime sélectivement les indicateurs d’enregistrement 🔴🟢, rendant la surveillance plus discrète. ...

Source: Jamf Threat Labs (blog Jamf). Contexte: publication du 14 janvier 2026 présentant des découvertes originales issues de l’ingénierie inverse d’un échantillon de Predator, en complément des travaux de Google Threat Intelligence Group (GTIG) de 2024. Jamf expose une architecture de surveillance anti-analyse centrée sur la classe C++ CSWatcherSpawner::CSWatcherSpawner et sa fonction check_perform(), avec un système de codes d’erreur (301–311) qui envoie au C2 un diagnostic précis avant auto-nettoyage. Plusieurs codes sont mis en évidence (p. ex. 311 pour multi‑instances, 309 pour restriction géographique, 310 pour console active, 304 pour outils de sécurité), tandis que 302, 303, 305, 306 sont absents dans cet échantillon. ...

Source: 39c3 — présentation par l’équipe Fuse Security. Le talk revient sur une attaque 0‑click in‑the‑wild visant WhatsApp sur appareils Apple et, par liens techniques, des appareils Samsung, en détaillant et en reproduisant la chaîne d’exploits autour de CVE‑2025‑55177, CVE‑2025‑43300 et CVE‑2025‑21043. • Contexte et chronologie. En août 2025, Apple corrige CVE‑2025‑43300, signalée comme exploitée in‑the‑wild dans une attaque « extrêmement sophistiquée ». Une semaine plus tard, WhatsApp publie un correctif pour CVE‑2025‑55177, également exploitée. Des éléments probants indiquent que ces failles ont été chaînées pour livrer un exploit via WhatsApp et voler des données d’appareils Apple, sans interaction utilisateur. En septembre, Samsung corrige CVE‑2025‑21043, une écriture OOB dans une bibliothèque de parsing d’images, confirmée exploitée. ...

Selon TechCrunch (Lorenzo Franceschi-Bicchierai, 21 octobre 2025), un ancien développeur d’exploits iOS chez Trenchant — filiale de L3Harris — a reçu une alerte d’Apple l’informant d’un ciblage par spyware mercenaire sur son iPhone personnel, peu après son licenciement. Le développeur (pseudonyme « Jay Gibson ») dit avoir reçu la notification le 5 mars et avoir immédiatement éteint l’appareil. Il pourrait s’agir du premier cas documenté d’un concepteur d’exploits/spyware lui-même visé par un spyware. Apple n’a pas commenté. ...

Source: GitHub (b1n4r1b01). Contexte: billet technique décrivant une vulnérabilité CoreMedia/MediaToolbox sur iOS, avec analyse de correctif, preuve de concept et mise en perspective « in the wild ». L’auteur localise la faille dans le sous-système Remaker de MediaToolbox.framework, due à une mauvaise gestion de l’objet FigRemakerTrack conduisant à un use-after-free/double free. En forçant un identifiant de piste hors bornes, l’appel URLAssetCopyTrackByID échoue et le flux de contrôle emprunte un chemin « buggy » où FigRemakerTrack est libéré alors que FigRemaker conserve une référence, ouvrant la voie à une exécution de code dans le processus mediaplaybackd. La vulnérabilité est évoquée dans le cadre des correctifs d’iOS 18.3, parmi les CVE liés à CoreMedia, comme unique cas UAF dans ce lot. ...

Source: TechCrunch (Zack Whittaker), 29 août 2025. WhatsApp a corrigé une faille exploitée dans ses apps iOS et Mac, utilisée avec une vulnérabilité Apple, pour mener des intrusions « zéro‑clic » contre des utilisateurs ciblés. WhatsApp indique avoir patché la vulnérabilité suivie comme CVE-2025-55177, abusée en conjonction avec une faille iOS/macOS (CVE-2025-43300) qu’Apple a corrigée la semaine précédente. Selon WhatsApp, l’attaque visait des utilisateurs spécifiques et l’entreprise a envoyé moins de 200 notifications aux comptes affectés. Apple a qualifié l’opération d’« extrêmement sophistiquée ». ...

L’Internet Storm Center rapporte qu’Apple a récemment publié des mises à jour pour iOS, iPadOS, macOS, watchOS, tvOS, et visionOS. Ces mises à jour incluent des correctifs pour un total de 89 vulnérabilités. Bien que la plupart des vulnérabilités soient liées à des problèmes de déni de service et de corruption de mémoire, certaines concernent des escalades de privilèges et des évasions de sandbox. Les descriptions fournies par Apple restent vagues, mais certaines vulnérabilités notables incluent la possibilité pour une application de lire un identifiant de périphérique persistant (CVE-2025-24220) ou d’exécuter du code arbitraire en dehors de son sandbox (CVE-2025-24119). ...

mobile-hacker.com rapporte une vulnérabilité critique dans l’application Air Keyboard pour iOS, révélée le 13 juin 2025, qui expose les utilisateurs à des attaques de type injection de saisie à distance sur les réseaux Wi-Fi locaux. La faille, documentée dans le rapport CXSecurity, permet à un attaquant sur le même réseau local d’envoyer des frappes au clavier sur un appareil iOS cible sans nécessiter d’authentification. Cette vulnérabilité est due au fait que l’application écoute sur le port TCP 8888 pour les entrées entrantes sans aucune forme d’authentification ou de chiffrement. ...

L’article publié par Citizen Lab rapporte que le 29 avril 2025, Apple a informé un groupe restreint d’utilisateurs iOS qu’ils avaient été ciblés par un logiciel espion avancé. Deux journalistes, dont un européen souhaitant rester anonyme et l’italien Ciro Pellegrino, ont accepté une analyse technique de leurs appareils. Cette analyse a révélé des preuves médico-légales confirmant avec une haute confiance qu’ils ont été ciblés par le spyware Graphite de Paragon. ...

L’article publié par TechCrunch rapporte que deux journalistes européens ont été victimes d’une attaque par spyware sur leurs iPhones, utilisant un logiciel malveillant développé par Paragon. Apple a annoncé avoir corrigé la faille exploitée par ce spyware dans la mise à jour iOS 18.3.1 du 10 février, bien que la vulnérabilité n’ait été rendue publique que récemment. Cette faille concernait un problème de logique lors du traitement de photos ou vidéos malveillantes partagées via un lien iCloud. ...