iOS : une faille dans Safari rend le phishing indétectable

La première des précautions à prendre contre le phishing est devenue vaine sur Safari pour iOS. Un cabinet de sécurité informatique allemand a effectivement découvert une faille permettant d'usurper jusqu'à l'URL d'un site Internet.


La quasi-totalité des sites Internet qui sont la cible de vol de données personnelles, ceux impliquant des transactions financières principalement, enseignent à leurs utilisateurs de s'assurer que la barre d'adresse de leur navigateur indique bien la bonne adresse. Il est effectivement facile de copier l'apparence d'un tel site Internet, mais il était jusqu'à présent impossible d'en emprunter l'adresse sans employer les grands moyens, en altérant des serveurs DNS à un niveau ou à un autre par exemple.

Avec la version de Safari Mobile incluse à iOS 5.1 en revanche, une erreur dans le traitement des URL avec la fonction JavaScript window.open() permet d'afficher dans la barre d'adresse une URL différente de celle effectivement présentée.

Pour s'en convaincre, il suffit de se rendre à cette adresse et de cliquer sur le bouton « démo ». Safari Mobile ouvrira alors une nouvelle fenêtre semblant pointer vers www.apple.com mais affichant en fait une page hébergée sur majorsecurity.net. Dans ces conditions, même le plus aguerri des utilisateurs pourrait donc se faire piéger.

MajorSecurity a découvert cette faille le 1er mars sur iOS 5.0, l'a reproduite sur iOS 5.1 puis signalée à Apple le lendemain, qui a répondu le surlendemain. Puis le cabinet a publié cette semaine sa découverte, ce qui devrait inciter Apple à accélérer le mouvement.