Des failles de sécurité dans le navigateur web Pocket Internet Explorer

L'éditeur de logiciels antivirus Airscanner sur Pocket PC et Smartphone Microsoft annonce, preuves à l'appui, que le logiciel Pocket Internet Explorer, fourni de base avec tous les appareils de poche sous Windows Mobile possède de nombreuses failles de sécurité.

Conséquence directe ? Ces différentes failles cumulées entre elles peuvent amener une personne mal intentionnée à "explorer" une partie de l'appareil de poche sous Windows Mobile pour en récupérer des données personnelles.

Airscanner précise par exemple que Pocket IE est moins performant que son homologue sur PC et ne permet pas par exemple de supporter des tags IFrame ou certains tags Javascript ce qui peut s'avérer très utile dans le cas d'une attaque ciblée sur le navigateur web du possesseur de de l'appareil de poche sous Windows Mobile.

Ainsi, plus précisément, Airscanner donne des exemples précis de ces failles de sécurité, spécifiquement sur Pocket PC (PIE sur le système WM2003 SE est également touché). Il est ainsi possible de dissimuler une partie de l'URL d'un site web (ie une banque) pour le rediriger sur un autre site web d'une manière presque indécelable pour un utilisateur lamba.

Il est également possible de récupérer à distance en exploitant des failles cumulées de sécurité un fichier stocké en local sur le Pocket PC. Ainsi, dans l'exemple, il a été possible de récupérer le nom d'utilisateur et mot de passe Paypal d'un Pocket PC via Pocket Internet Explorer.