iOS perméable à une technique redoutable de phishing

Un développeur d'applications a découvert une faille dans le système d'exploitation mobile d'Apple, qui permet d'activer la fenêtre popup invitant à saisir le mot de passe de son compte utilisateur.

Des pirates mal intentionnés pourraient se servir de cette faille pour subtiliser les identifiants de comptes Apple.

Copie parfaite de la fenêtre de saisie


C'est la fenêtre qui s'ouvre lorsqu'un téléchargement dans l'Appstore ou une application requiert que vous entriez le mot de passe de votre identifiant Apple. Dans un article publié sur son blog le 10 octobre, Felix Krause, un développeur sur iOS, révèle avoir découvert une faille qui permet de recréer à l'identique cette fameuse fenêtre popup. Une vulnérabilité qui pourrait malheureusement servir à dérober des identifiants de compte Apple.

Dans sa démonstration, Felix Krause explique, photos comparatives à l'appui, être parvenu à imiter à la perfection la fenêtre officielle qui demande de saisir son mot de passe. Le développeur refuse d'en livrer le code source, mais il suggère qu'un esprit mal intentionné pourrait parfaitement appliquer cette découverte à des tentatives de phishing qui auraient de grandes chances d'aboutir.

ios


Un mot de passe très souvent demandé


Felix Krause explique qu'en effet, iOS demande très souvent à l'utilisateur son mot de passe iTunes, que ce soit pour les mises à jour du système d'exploitation ou des applications, lorsque l'installation se bloque en cours de processus. Les sollicitations étant nombreuses, beaucoup d'utilisateurs remplissent sans trop faire attention la case mot de passe à chaque fois qu'iOS les y invite. Le plus grand risque réside lorsque la fenêtre apparaît dans les applications elles-mêmes, comme c'est le cas dans iCloud, dans le GameCenter ou bien pour les achats intégrés dans certaines applications. C'est dans ce genre de contexte que le phishing aurait le plus de chances de réussir, tant la tromperie serait difficile à déceler.

Felix Krause livre tout de même une méthode efficace pour lever un doute : appuyer sur le bouton d'accueil de son iPhone ou son iPad lorsque la fenêtre de saisie du mot de passe iTunes apparaît. Si l'app se ferme ainsi que la fenêtre popup, c'est que vous êtes bien face à une tentative de phishing.

Modifié le 12/10/2017 à 16h05
Commentaires