iOS : faille pour phishing
Comment faire prendre des vessies pour des lanternes : le chercheur en sécurité Nitesh Dhanjani a mis le doigt sur une faille d’iOS qui pourrait bien aider les spécialistes de l’hameçonnage à accomplir leurs basses œuvres.
Cette vulnérabilité se situe au niveau de la classe UIWebView, qui permet aux développeurs d’afficher des sites web à l’intérieur de leurs applications, sans devoir lancer Safari. Cette fonction est fort pratique : elle masque très rapidement la barre d’URL afin de laisser toute sa place au site web; ce d’autant plus si l’iPhone ou l’iPad sont connectés en wifi.
Or, c’est là que le bât blesse : l’utilisateur n’a en règle générale pas le temps de voir l’adresse dont il est question. Cette technique, appelée UI Spoofing, pourrait donc aider les arnaqueurs à faire prendre des pages bidons pour des sites très sérieux, une banque, une administration, etc. Et il sera facile ensuite d’obtenir des informations confidentielles sur l’utilisateur…
Apple a été prévenue du problème potentiel de sécurité que cette faille recèle, mais n’a pas encore pris de mesures pour en venir à bout.
