Une faille d'Apple iOS peut être exploitée pour voler l'identifiant et le mot de passe de l'utilisateur avec un email de phishing

Une vulnérabilité dans le système Apple iOS permet aux hackers de voler l’identifiant et le mot de passe avec un email de phishing

Une démonstration par un expert en sécurité montre comment tirer parti d’une vulnérabilité dans le système Apple iOS qui peut être exploitée pour charger du contenu HTML distant arbitraire dans l’application.

Plus tôt cette semaine, Jan Soucek ( @jansoucek), un chercheur tchèque, a publié un code de preuve de concept (PoC) et une vidéo pour montrer la preuve de ses découvertes.

En janvier, l’expert a découvert que le client email iOS (Mail.app) ne prend pas en compte la balise HTML dans les messages email. Cela permet à un hacker de concevoir des emails qui chargent du contenu HTML distant lorsqu’ils sont ouverts.

“JavaScript est désactivé dans ce UIWebView, mais il est toujours possible de construire un ‘collecteur’ de mots de passe fonctionnel en utilisant du simple HTML et CSS,” a déclaré Soucek.

Une vidéo (ci-dessous) publiée par le chercheur démontre comment un hacker peut envoyer un email de phishing demandant aux destinataires de saisir leurs identifiants iCloud. Le nom d’utilisateur et le mot de passe collectés auprès de la victime sont ensuite renvoyés au hacker.

Les utilisateurs ont noté qu’une telle attaque est susceptible de fonctionner contre de nombreux utilisateurs d’internet car il n’est pas inhabituel qu’on leur demande de saisir leurs identifiants iCloud et la boîte de dialogue authentique créée par Apple est simple à reproduire.

Soucek a publié le code source d’un “kit d’injection” iOS 8.3 sur GitHub. L’expert a souligné qu’il ne s’agit que d’une illustration pour montrer l’existence de la vulnérabilité, qui peut être utilisée pour d’autres attaques également et pas seulement pour la collecte d’identifiants.

“La vulnérabilité peut être utilisée pour tout ce qui nécessite des balises HTML non prises en charge par Mail.app,” a expliqué Soucek.

Selon le chercheur, en janvier, il avait porté la faute à l’attention d’Apple via le système de suivi des bugs Radar de l’entreprise. Cependant, comme Apple n’a pas pris de mesures, il a maintenant décidé de divulguer la vulnérabilité au public.

Bien que cette semaine Apple ait publié la première bêta d’iOS 9 et la bêta 4 d’iOS 8.4 ; il n’est pas clair si ces versions corrigent la vulnérabilité. Même si les défauts sont corrigés, ces variantes sont actuellement réservées aux développeurs.

Graham Cluley, analyste de sécurité indépendant, a attiré l’attention de tous sur le code publié par le chercheur qui pourrait être utilisé à bon escient par des voleurs d’identité et des hackers malveillants.

“Bien que je puisse comprendre sa frustration face au manque de réponse d’Apple pour corriger le problème, Soucek aurait pu faire pression sur l’entreprise en démontrant la faille aux médias technologiques, plutôt qu’en publiant un code d’exploitation pour un usage potentiel abusif. En attendant, alors que nous attendons que Cupertino déploie un correctif, il serait plus sage d’exercer une extrême prudence chaque fois qu’un pop-up inattendu apparaît en consultant notre boîte de réception Mail, ou d’utiliser plutôt une application email tierce,” a écrit Cluley dans un article de blog pour Tripwire.

Vidéo Poc :