Apparemment, depuis qu'Apple a publié iOS 8.3 début avril, l'application Mail a cessé de supprimer le code HTML potentiellement dangereux des e-mails reçus par les utilisateurs. Une balise demande à l'application Mail de télécharger et d'exécuter du code à distance. La commande affiche ensuite une zone de formulaire, qui imite l'apparence d'une boîte de demande de connexion iCloud. Si l'utilisateur se connecte, le pirate informatique peut alors voler le nom d'utilisateur et le mot de passe de son compte iCloud. Grâce à ces deux informations, le pirate informatique peut voler d’autres informations personnelles stockées dans iCloud.
Preuve de concept: attaque iOS 8.3 Mail.app
"Ce bug permet de charger du contenu HTML distant, remplaçant le contenu du message électronique d'origine", Jansoucek a écrit. "JavaScript est désactivé dans cette UIWebView, mais il est toujours possible de créer un "collecteur" de mots de passe fonctionnel en utilisant de simples HTML et CSS [feuilles de style en cascade]."
Vidéos recommandées
Pour aggraver les choses, la vulnérabilité place un cookie de suivi dans l'application Mail, afin que le code n'exécute pas la même commande à chaque fois que l'e-mail infecté est ouvert dans l'application. De cette façon, l'utilisateur ne se méfie pas du message et ne remarque pas le lien entre cet e-mail spécifique et l'invite de connexion iCloud. De plus, le pirate informatique peut modifier le code à tout moment pour accéder à différentes informations.
Heureusement, il existe une astuce que les utilisateurs iOS peuvent utiliser pour se protéger du piratage. Bien que le code malveillant imite assez bien la boîte de connexion iCloud, il n’est pas parfait. Tout d'abord, la boîte vous demande à la fois votre identifiant Apple et votre mot de passe, alors qu'iCloud ne demande généralement que votre mot de passe et affiche déjà votre nom d'utilisateur. Deuxièmement, la boîte n’est pas modale, donc l’arrière-plan ne s’estompe pas et l’écran n’est pas statique lorsque l’invite apparaît. De plus, les suggestions de clavier restent activées, ce qui n'arrive jamais lorsque vous recevez une invite iCloud sur iOS.
Bien entendu, ces différences sont subtiles et beaucoup ne les remarqueront pas. Apple n'a pas encore répondu, mais j'espère que le correctif sera bientôt disponible. D’ici là, la prochaine fois que vous verrez une demande de connexion iCloud, vérifiez ces signes révélateurs pour vous assurer que vous n’êtes pas piraté.
Recommandations des rédacteurs
- La nouvelle fonctionnalité la plus intéressante d’iOS 17 est une horrible nouvelle pour les utilisateurs d’Android
- Apple ajoute une toute nouvelle application à votre iPhone avec iOS 17
- iOS 16.5 apporte deux nouvelles fonctionnalités intéressantes à votre iPhone
- Mode de verrouillage de l'iPhone: comment utiliser la fonction de sécurité (et pourquoi vous devriez le faire)
- Votre iPhone possède une fonctionnalité secrète qui protège l’environnement – voici comment cela fonctionne
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
