iOS Mail : une 0-day pour pêcher des identifiants

Le par  |  2 commentaire(s) Source : The Register
Mail-iOS

L'application de messagerie Mail d'Apple sur iPhone et iPad souffre d'une vulnérabilité non corrigée permettant à des attaquants malins de voler des identifiants de connexion.

Alors que la firme à la pomme tient sa conférence annuelle WWDC pour les développeurs, le chercheur en sécurité Jan Soucek n'a pas trouvé meilleur calendrier pour divulguer une vulnérabilité affectant le client de messagerie natif Mail sur iOS.

Il publie ainsi une preuve de concept mais précise toutefois avoir découvert la faille en janvier dernier. S'il a prévenu Apple à cette période, ladite faille n'a pas été comblée dans les mises à jour d'iOS qui ont suivi la version 8.1.2. Désormais, ce sont aussi les utilisateurs - et cybercriminels - qui sont prévenus tandis que pression est faite pour pousser Apple à réagir.

Le chercheur en sécurité explique qu'un bug dans Mail pour iOS a pour conséquence de permettre le chargement d'un contenu HTML distant qui remplace le contenu original d'un email. En l'occurrence, grâce à une balise méta de redirection vers une page.

En exploitant ce bug, il devient possible à un simple formulaire HTML de tromper son monde comme dans une preuve de concept où après la réception d'un email, l'utilisateur croit être en face d'une demande de connexion iCloud en bonne et due forme dans un pop-up.

  

N'importe quel code arbitraire HTML et CSS peut être exécuté. Reste aux attaquants à faire preuve d'imagination dans leurs tentatives de phishing. Méfiance donc avec les étranges demandes de connexion lors d'une utilisation de Mail sur iOS.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1844911
A une époque, Apple c'était "garanti sans virus"
Le #1844933
gabrielskowron a écrit :

A une époque, Apple c'était "garanti sans virus"


Dans la tête de ceux qui se laissaient bourrer lcrane
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]