Si Apple, comme bon nombre de constructeurs de smartphone, essaye d’être irréprochable en matière de sécurité vis-à-vis de ses téléphones, ces derniers ne sont pas à l’abri de quelques failles. Et ce n’est pas Felix Krause qui dira le contraire.
Un phishing simple à coder, difficile à détecter
Ce développeur autrichien a réussi à coder une boîte de dialogue iOS, qui peut apparaître lorsqu’une application est utilisée, qui demande à l’utilisateur de rentrer son mot de passe iTunes. Inutile de dire que cette pop-up, similaire en tout point à la vraie lancée par votre iPhone, peut permettre à un malandrin informatique de récupérer votre mot de passe en toute impunité.
Il faut dire que cette méthode de phishing repose sur un principe simple : la routine. En effet, ce genre de pop-up apparaît de temps à autre et les utilisateurs ont tendance à remplir le champ sans se douter qu’il peut s’agir d’une arnaque.
Si Felix Krause n’a pas partagé son code pour qu’il ne tombe pas entre de mauvaises mains, il explique cependant que “n’importe quel développeur iOS est capable de concevoir son propre code de phishing”. Il ajoute qu’il n’a eu besoin que d’une trentaine de lignes de code pour concevoir son arnaque.
Rester vigilant pour ne pas tomber dans le panneau
Il existe quelques astuces pour ne pas se faire avoir par une pop-up pernicieuse. À commencer par le bouton Home. Si le doute vous habite lorsqu’une boîte de dialogue apparaît, cliquez sur le bouton Home. Si la pop-up vient bel et bien d’iOS, cette action ne la fermera pas. En revanche, s’il s’agit de phishing, vous serez redirigé vers l’écran d’accueil et la fenêtre sera fermée.
De son côté Felix Krause conseille aux utilisateurs de ne jamais rentrer leurs identifiants dans ces boîtes de dialogue et de le faire directement dans les réglages de l’application ou d’iOS. Pour le moment, Apple n’a pas réagi face à ce problème.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Faudrait déjà que cette d’application passe la validation iOS..
Ca me rappelle l’histoire de l’application qui vérifiait si le téléphone n’était pas localisé dans les alentours du siège d’apple avant d’executer son code malveillant.
Et cette mascarade avait duré un moment !
Vive le social engineering 😀
Si apple étaient débiles sur la sécurité, ils ne demanderaient pas le MDP de manière aléatoire et sans réelle raison. Du coup cette boite de prompt est devenue tellement banal que l’utilisateur ne se pose même plus de question.
9/10 pour l’article!
La news c’est qu’un développeur peut faire apparaître une pop-up dans son application avec un look spécifique….
C’est toujours utile de rappeler les risques du phishing, par contre ce n’est pas une faille de ios et ça existe depuis longtemps et partout, pour fb, gmail, msn etc.