Actualités
Voler le mot de passe iCloud d’un utilisateur d’iPhone, plutôt simple pour un développeur !
y a beaucoup moins de risques de télécharger une application corrompue sur
l’App Store que sur Google Play, car les équipes de validation d’Apple
vérifient toutes les applis avant de les approuver ou les rejeter pour diverses
raisons.
Toutefois le développeur d’apps Felix Krause a démontré qu’il était assez
facile de voler le mot de passe iCloud d’un utilisateur en copiant une
alerte système d’iOS et en l’affichant dans une app avec un code
malveillant.
Il arrive de temps à autre que des popups ou fenêtres de dialogue
apparaissent pour demander le mot de passe iCloud de l’utilisateur le plus
souvent dans l’App Store, mais aussi en dehors, parfois.
Felix Krause a démontré qu’un développeur avec de mauvaises intentions
pouvait facilement imiter cette fenêtre de dialogue et inclure ces lignes de
code dans une app, laquelle enregistrerait ce que l’utilisateur a
renseigné.
Selon lui, cela ne nécessite pas plus de "30 lignes de code" pour réaliser
une tentative d’hameçonnage dans une app iOS.
Fort heureusement aucune app iOS n’a été répertoriée utilisant ce type de
piratage et il est possible de s’assurer de la légitimé d’une alerte système en
suivant quelques recommandations.
Felix Krause explique qu’il suffit d’appuyer sur le bouton
Home si une telle fenêtre apparait, si l’app se ferme et avec elle la
fenêtre de dialogue, alors il s’agissait d’une tentative de vol de mot de
passe. Si la fenêtre de dialogue reste affichée, alors il s’agit d’une alerte
système d’iOS.
Pour écarter tout danger, il est également possible de fermer la fenêtre de
dialogue en appuyant sur "annuler" et de se rendre dans les réglages d’iOS pour
renseigner son mot de passe.
Felix Krause a prévenu Apple et suggéré plusieurs correctifs, comme l’ajout
d’un élément visuel pour indiquer s’il s’agit ou non d’une alerte système
d’iOS.