Voler le mot de passe iCloud d’un utilisateur d’iPhone, plutôt simple pour un développeur !
Il
y a beaucoup moins de risques de télécharger une application corrompue sur
l’App Store que sur Google Play, car les équipes de validation d’Apple
vérifient toutes les applis avant de les approuver ou les rejeter pour diverses
raisons.
Toutefois le développeur d’apps Felix Krause a démontré qu’il était assez
facile de voler le mot de passe iCloud d’un utilisateur en copiant une
alerte système d’iOS et en l’affichant dans une app avec un code
malveillant.
Il arrive de temps à autre que des popups ou fenêtres de dialogue
apparaissent pour demander le mot de passe iCloud de l’utilisateur le plus
souvent dans l’App Store, mais aussi en dehors, parfois.
Felix Krause a démontré qu’un développeur avec de mauvaises intentions
pouvait facilement imiter cette fenêtre de dialogue et inclure ces lignes de
code dans une app, laquelle enregistrerait ce que l’utilisateur a
renseigné.
Selon lui, cela ne nécessite pas plus de "30 lignes de code" pour réaliser
une tentative d’hameçonnage dans une app iOS.
Fort heureusement aucune app iOS n’a été répertoriée utilisant ce type de
piratage et il est possible de s’assurer de la légitimé d’une alerte système en
suivant quelques recommandations.
Felix Krause explique qu’il suffit d’appuyer sur le bouton
Home si une telle fenêtre apparait, si l’app se ferme et avec elle la
fenêtre de dialogue, alors il s’agissait d’une tentative de vol de mot de
passe. Si la fenêtre de dialogue reste affichée, alors il s’agit d’une alerte
système d’iOS.
Pour écarter tout danger, il est également possible de fermer la fenêtre de
dialogue en appuyant sur "annuler" et de se rendre dans les réglages d’iOS pour
renseigner son mot de passe.
Felix Krause a prévenu Apple et suggéré plusieurs correctifs, comme l’ajout
d’un élément visuel pour indiquer s’il s’agit ou non d’une alerte système
d’iOS.
Moutony
13 octobre 2017 à 18 h 47 min
Aucune app iOS n’a été répertoriée utilisant ce type de piratage ?!
Le jeu "Little Alchemy 2" demande le mot de passe App Store à CHAQUE ouverture
de l’app !
Nag64 (posté avec l'app i-nfo.fr V2)
11 octobre 2017 à 20 h 45 min
Faut pas être malin pour se faire piéger comme ça !
LeHayk (posté avec l'app i-nfo.fr V2)
11 octobre 2017 à 13 h 37 min
@Darth_Philou c’est vrai mais dans l’extrême un développeur mal intention
pourrait aussi imité l’action d’aller dans une fausse page de paramètre. Le
mieux est que l’utilisateur lui même aille dans les paramètres. Je fais
confiance aux ingénieurs d’Apple.
Darth Philou (posté avec l'app i-nfo.fr V2)
11 octobre 2017 à 13 h 03 min
Sauf qu’une alerte visuelle peut aussi être copiée par les développeurs. Le
mieux c’est de rediriger l’utilisateur vers la page de réglage.