iOS : une faille dans Safari rend le phishing indétectable

Romain Heuillard
Publié le 23 mars 2012 à 16h52
La première des précautions à prendre contre le phishing est devenue vaine sur Safari pour iOS. Un cabinet de sécurité informatique allemand a effectivement découvert une faille permettant d'usurper jusqu'à l'URL d'un site Internet.

00BE000005056046-photo-ic-ne-safari-mobile-pour-ios.jpg

La quasi-totalité des sites Internet qui sont la cible de vol de données personnelles, ceux impliquant des transactions financières principalement, enseignent à leurs utilisateurs de s'assurer que la barre d'adresse de leur navigateur indique bien la bonne adresse. Il est effectivement facile de copier l'apparence d'un tel site Internet, mais il était jusqu'à présent impossible d'en emprunter l'adresse sans employer les grands moyens, en altérant des serveurs DNS à un niveau ou à un autre par exemple.

Avec la version de Safari Mobile incluse à iOS 5.1 en revanche, une erreur dans le traitement des URL avec la fonction JavaScript window.open() permet d'afficher dans la barre d'adresse une URL différente de celle effectivement présentée.

Pour s'en convaincre, il suffit de se rendre à cette adresse et de cliquer sur le bouton « démo ». Safari Mobile ouvrira alors une nouvelle fenêtre semblant pointer vers www.apple.com mais affichant en fait une page hébergée sur majorsecurity.net. Dans ces conditions, même le plus aguerri des utilisateurs pourrait donc se faire piéger.

MajorSecurity a découvert cette faille le 1er mars sur iOS 5.0, l'a reproduite sur iOS 5.1 puis signalée à Apple le lendemain, qui a répondu le surlendemain. Puis le cabinet a publié cette semaine sa découverte, ce qui devrait inciter Apple à accélérer le mouvement.

01E0000005056006-photo-faille-phishing-dans-safari-mobile.jpg


Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles