L'application Mail d'Apple est vulnérable face aux tentatives de Phishing

En janvier, un chercheur en sécurité Tchèque, Jan Soucek a découvert une faille dans l’application Mail. La faille peut être utilisée afin de récolter les identifiants et mot de passe des utilisateurs grâce à un pop-up.

Apple : pas de correctif depuis la découverte

Cela fait maintenant six mois que Jan Soucek a découvert cette faille. Il avait aussitôt prévenu Apple, mais il n’a toujours pas eu de retour des représentants de la firme. La faille est toujours d’actualité et reste ouverte aux attaques de phishing. L’expert en sécurité a aussi publié ses trouvailles sur la plateforme collaborative GitHub en attendant un retour d’Apple.

Exploiter un code HTML pour récupérer les identifiants

Cette faille demande quelques connaissances précises, mais semble relativement simple à exécuter pour des connaisseurs. La faille permet de remplacer le contenu d’un courriel par un contenu externe. Profitant d’un tag HTML ajouté à un courriel entrant dans l’application Mail d’iOS il est possible d’ouvrir un pop-up demandant les identifiants du compte iCloud de l’utilisateur.

Pour arriver à berner les utilisateurs, le pop-up ressemble exactement à ceux utilisés par Apple dans plusieurs applications avant de valider des actions. Dans la démonstration (Proof of Concept) réalisée par Jan Soucek et publiée sur YouTube, le hackeur peut ensuite générer un e-mail automatique en réponse aux identifiants reçus. À première vue, la requête des identifiants semble authentique et c’est bien là le problème.

Les terminaux sous iOS 8.1.2 sont vulnérables

La faille concerne les terminaux iOS (et l’application Mail) à partir de la version 8.1.2 à monter. Si aucune attaque massive exploitant cette faille n’a été annoncée publiquement, espère qu’Apple corrigera rapidement cette faille.

Crédit Photo : Apple