iOS : une "faille" permet de piéger les utilisateurs avec une fausse fenêtre système

Le par  |  4 commentaire(s)
iOS 11 App Store

Un développeur autrichien a récemment mis en évidence une "faille" dans iOS qui permettrait de récupérer les mots de passe des utilisateurs.

Ce n'est pas véritablement une faille, mais une liberté laissée aux développeurs qui pourrait être exploitée en vue de récolter les identifiants des utilisateurs.

Apple iPhone 7 
566€ sur Amazon* * Prix initial : 566€.

Le développeur autrichien Felix Krause explique ainsi qu'il a été capable de créer une application qui peut à tout moment ouvrir une boite de dialogue d'iOS invitant l'utilisateur à renseigner son identifiant iTunes ainsi que son mot de passe. Or, dans ce cas de figure, il ne s'agit pas d'une vraie boite de dialogue générée par iOS, mais d'une copie parfaite qui permet alors au développeur de récupérer les données saisies par la victime.

Cette technique rappelle ainsi le phishing et se voudrait particulièrement efficace. Rappelons qu'Apple a mis en place un système d'authentification à double facteur sur les comptes iTunes, mais tout le monde ne l'utilise pas par défaut.

Phishing iPhone

Felix Krause a décidé de ne pas publier le code permettant d'ouvrir ce genre de fenêtre trompeuse et invite Apple à corriger le tir dans iOS. Il précise que le tout ne nécessite que 30 lignes de code et que cela s'avère finalement assez simple à mettre en place.

Pour les utilisateurs, il existe une parade, mais elle nécessite d'être attentif puis qu'il faudra vérifier systématiquement à chaque pop up. Un appui sur le bouton home devrait faire disparaitre les fausses fenêtres système tandis que les vraies notifications d'iOS resteront à l'écran.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1984319
Sauf que les applis sont contrôlées sur l'appstore contrairement au store-poubelle de google.
Le #1984321
Titre - "une faille......."
Intro - "Ce n'est pas véritablement une faille"

Come on...
Le #1984328
YoshX a écrit :

Titre - "une faille......."
Intro - "Ce n'est pas véritablement une faille"

Come on...


+1

D'ailleurs c'est l'intro qui a raison, c'est pas une faille (du tout).

Après, l'utilisation de l'API iOS UIAlertController par une application tierce devrait générer une fenêtre différentiable.


Le #1984395
Encore une fois, c’est le manque de vigilance et/ou l’ignorance de l’utilisateur qui est exploitée.
Je n’ai pas mémoire qu’une seule fois (sauf à la config initiale, bien évidemment) iOS m’a demandé mon id ET mon mot de passe iTunes/iCloud.
En principe seul le mot de passe est exigé.
Et pour en rajouter une couche, quand iOS exige mon mdp, je suis entrain de faire une manipulation qui le nécessite ... donc je m’y attend.

Bref, si je lance la nouvelle app « SuperEmojiKikooLoL » et qu’une fenêtre demandant les identifiants s’ouvre —>je me casse
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]