iOS : obtenir le mot de passe d’un compte Apple est un jeu d’enfant

 
Un employé de Google a mis en lumière un problème fondamental d’iOS qui permet à des développeurs malveillants d’obtenir facilement le mot de passe du compte Apple de l’utilisateur.

Parvenez-vous à faire la différence entre les deux captures d’écran si dessus ? Les différences sont quasi imperceptibles et les deux requêtes paraissent légitimes. En effet, iOS vous a habitué depuis la toute première version à vous demander le mot de passe de votre compte Apple de façon inopinée, à travers plusieurs applications (notamment lorsqu’elles demandent des achats in-app).

Pourtant, la fenêtre de droite ne vient pas d’Apple, mais a été développée par un employé de Google pour qu’elle ressemble le plus possible à l’originale. Résultat, l’utilisateur donnera probablement son mot de passe au développeur puisqu’il n’y a visiblement aucune raison de douter de cette fenêtre.

Avec cette démonstration, Félix Krause veut alerter la marque à la pomme concernant cette dangereuse faille et sensibiliser le plus d’utilisateurs possible. Il explique avoir pu développer la fenêtre d’interrogation très facilement en moins de 30 lignes de codes et en utilisant le guide d’Apple fourni aux développeurs pour créer des pop-up.

Il n’est même pas nécessaire de connaitre l’adresse e-mail de l’utilisateur comme sur la première capture d’écran, puisque Apple peut aussi faire apparaitre des demandes sans montrer l’adresse mail, comme le développeur le montre avec cette seconde capture.

Comment détecter une fenêtre malveillante

Maintenant que cette faille est publique, il ne fait aucun doute que des développeurs vont tenter de l’exploiter. Malgré la vérification d’Apple avant la publication d’une application sur l’App Store il sera également très simple pour un développeur de mettre en place une telle demande malveillante. Il est en effet assez simple de faire exécuter du code qui n’a pas été revu en passant par du code hébergé sur le web. Il s’agit d’une méthode parfois utilisée par les développeurs pour déployer des mises à jour rapidement, avant la certification des boutiques d’applications.

Pour se protéger de ce danger et vérifier qu’une demande est légitime, il suffit de cliquer sur le bouton home. Si l’application se ferme, il s’agissait d’une demande venant de l’application. Dans le cas contraire, si la fenêtre reste, il s’agit d’une demande du système, et donc d’Apple.

Apple doit rapidement corriger ce problème

Félix Krause propose plusieurs solutions à Apple pour corriger facilement ce problème. La firme pourrait notamment demander à l’utilisateur d’accéder aux paramètres du téléphone, plutôt que de demander directement le mot de passe. Quoi qu’il en soit, il s’agit d’un problème qu’Apple devra rapidement corriger.


Le saviez-vous ? Google News vous permet de choisir vos médias. Ne passez pas à côté de Frandroid et Numerama.

Les derniers articles