Trust Wallet Faux signal d'alerte d'exploit iMessenger concernant des failles de sécurité récentes et des vulnérabilités d'applications iOS ?

Trust Wallet Faux signal d'alerte d'exploit iMessenger concernant des failles de sécurité récentes et des vulnérabilités d'applications iOS ?
Retour à l'accueil > Actus Crypto > Trust Wallet Faux signal d'alerte d'exploit iMessenger concernant des failles de sécurité récentes et des vulnérabilités d'applications iOS ?
Points clés à retenir

  • Trust Wallet a tiré la sonnette d'alarme sur un package d'exploit iMessage de 2 millions de dollars.
  • Entre 2017 et 2023, on estime que plus d’un million de dollars de BTC ont été perdus à cause de cette vulnérabilité.
  • Plus de 6 500 « portefeuilles faibles » peuvent encore être vulnérables au vol.

Suite à une série de piratages, de violations de données et de problèmes de sécurité, le propre de Binance Trust Wallet a alerté la communauté crypto d'une nouvelle vulnérabilité non vérifiée dans iMessage.

Mais il n'est pas clair si la vulnérabilité vient de Trust WalletL'application iOS de , un kit de piratage iMessages darkweb de 2 millions de dollars ou un bug dans la technologie d'Apple.

Exploit iMessage « Jour Zéro »

Trust Wallet a tiré la sonnette d'alarme lundi, alertant la communauté crypto d'une vulnérabilité potentielle dans iMessage. Leur preuve ? Un marché du Web sombre appelé CodeBreach Lab annonçant un exploit iMessage Zero Day de 2 millions de dollars.

Selon Trust Walletla situation ne leur est pas exclusive et est « à l'échelle de la cryptographie », bien que MetaMask. Selon leurs publications sur Twitter, les utilisateurs doivent désactiver iMessage et attendre qu'Apple corrige l'exploit.

L'exploit Zero Day d'exécution de code à distance (RCE) permet soi-disant au pirate informatique d'infiltrer l'iPhone d'un utilisateur sans l'obliger à cliquer sur un lien. Pour plus de contexte, un exploit zero-day est une technique qui cible une faille de sécurité inconnue pour accéder à un système. Par conséquent, le fournisseur dispose de « zéro jour » pour résoudre le problème.

Il n'y a aucune preuve que l'exploit ait été utilisé ou acheté pour le prix de 2 millions de dollars. Le plus intéressant, c’est que l’expert en cybersécurité Dominic Alvieri estime que cette annonce d’exploitation est fausse.

Nous avons contacté Trust Wallet à ce propos, ils ont précisé :

« Nous ne sommes pas les seuls à avoir découvert cette information ; plusieurs autres non-Trust Wallet des experts en sécurité sont également impliqués. Nous avons pensé qu’il était crucial de partager cela plutôt que de garder le silence.

Cependant, ils n'ont pas répondu aux commentaires sur les enquêtes sur leurs vulnérabilités iOS. Nous avons contacté Apple et Alvieri qui n'ont pas immédiatement répondu.

Trust Wallet Vulnérabilités iOS

Mais l'affaire n'est pas claire et fait suite à deux enquêtes distinctes qui ont révélé Trust Wallet Vulnérabilités iOS remontant à 2018. Selon les analystes, les données en chaîne montrent qu'entre juin 2017 et juin 2024,

Selon une analyse de janvier de Laboratoires SECBIT les données en chaîne montrent que la vulnérabilité a affecté les portefeuilles créés entre juin 2017 et juin 2024. Malgré de nombreux portefeuilles issus de Trust Wallet « […]ils peuvent historiquement être ou continuer à être vulnérables.

Enquête complémentaire de Lait Triste reproduit des résultats similaires, ajoutant que plus de 6500 Trust Wallet Les adresses iOS étaient toujours vulnérables. Les résultats estiment que l’ensemble des « portefeuilles faibles » de BTC ont perdu plus d’un million de dollars à cause du vol.

Sans être trop technique, la raison de cette vulnérabilité semble être une combinaison de problèmes. Premièrement, une utilisation abusive de la « bibliothèque trezor-crypto » en lui appliquant une cryptographie par défaut. Deuxièmement, SECBIT note que l'application iOS génère des graines d'une manière inappropriée à des fins crypto, ce qui les rend faibles avec des valeurs prévisibles et, par conséquent, vulnérables aux attaques par force brute.

Un autre enquête du National Institute of Standards and Technology (NIST) des États-Unis, s'est concentré sur cette faille de sécurité. Après avoir examiné la manière dont l'application utilisait incorrectement la bibliothèque trezor-crypto pour les clés mnémoniques, elle a classé la vulnérabilité à 7,5 sur 10.

Alors que se passe-t-il?

Peu importe comment vous le regardez, les choses ne s'annoncent pas bien pour Trust Wallet. Sa longue série de problèmes de sécurité, ainsi que ce dernier développement, ne présagent rien de bon pour un portefeuille crypto appartenant au principal échange de crypto-monnaie au monde, Binance.

En outre, l’alerte sur la vulnérabilité du dark web n’a fait qu’attirer le scepticisme quant au fait qu’une fois de plus, il n’existe aucune preuve – pour l’instant – que le package de piratage RCE zero-day ait été vendu ou utilisé de quelque manière que ce soit.

Apple n'a pas encore confirmé s'il y a un problème de leur côté ou si iMessage a été compromis. Au final, beaucoup de doutes ont été levés Trust WalletLes informations et les intentions derrière cette alerte.

Écrit par Leo

Rédacteur en chef sur Cryptopump depuis 2022. Premier pied crypto en 2017.

Dans la même catégorie