iOS : une faille dans Safari rend le phishing indétectable

La première des précautions à prendre contre le phishing est devenue vaine sur Safari pour iOS. Un cabinet de sécurité informatique allemand a effectivement découvert une faille permettant d'usurper jusqu'à l'URL d'un site Internet.

00BE000005056046-photo-ic-ne-safari-mobile-pour-ios.jpg

La quasi-totalité des sites Internet qui sont la cible de vol de données personnelles, ceux impliquant des transactions financières principalement, enseignent à leurs utilisateurs de s'assurer que la barre d'adresse de leur navigateur indique bien la bonne adresse. Il est effectivement facile de copier l'apparence d'un tel site Internet, mais il était jusqu'à présent impossible d'en emprunter l'adresse sans employer les grands moyens, en altérant des serveurs DNS à un niveau ou à un autre par exemple.

Avec la version de Safari Mobile incluse à iOS 5.1 en revanche, une erreur dans le traitement des URL avec la fonction JavaScript window.open() permet d'afficher dans la barre d'adresse une URL différente de celle effectivement présentée.

Pour s'en convaincre, il suffit de se rendre à cette adresse et de cliquer sur le bouton « démo ». Safari Mobile ouvrira alors une nouvelle fenêtre semblant pointer vers www.apple.com mais affichant en fait une page hébergée sur majorsecurity.net. Dans ces conditions, même le plus aguerri des utilisateurs pourrait donc se faire piéger.

MajorSecurity a découvert cette faille le 1er mars sur iOS 5.0, l'a reproduite sur iOS 5.1 puis signalée à Apple le lendemain, qui a répondu le surlendemain. Puis le cabinet a publié cette semaine sa découverte, ce qui devrait inciter Apple à accélérer le mouvement.

01E0000005056006-photo-faille-phishing-dans-safari-mobile.jpg


Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Lost Judgment, le prochain jeu des créateurs de Yakuza, fuite
ChronoDose, le nouvel outil du fondateur de CovidTracker pour trouver une dose de vaccin libre en 24h
The Witcher 3 : la prochaine MàJ pourrait utiliser des mods faits par les fans
Nintendo annonce un jeu Switch qui vous met dans la peau d’un développeur
Le jeu d'aventure Pine est gratuit cette semaine sur l'Epic Games Store
Hyundai pourrait lancer la Ioniq 6 dès l'année prochaine
iPhone 13 : prix, date de sortie, fiche technique, on vous dit tout ce que l'on sait
World of Warcraft : Blizzard date Burning Crusade Classic et détaille les changements pour les royaumes
NIO : un nouveau constructeur de voitures électriques arrive en Europe
Les cartes graphiques Intel DG2 devraient être lancées cette année, des specs en fuite
Haut de page