iOS : piéger l’utilisateur avec de fausses popups d’identification n’est pas compliqué [MAJ]

Article mis à jour à 17h

iOS est assez strict lors du téléchargement et mise à jour d’une application ou du système : il exige que l’utilisateur s’identifie via une pop-up en entrant son AppleID. De quoi empêcher des modifications non autorisées. Mais cette protection semble faillible.

 

Un développeur nommé Felix Krause est ainsi tombé sur une faille dans le système d’authentification. Ce dernier serait simple à reproduire afin de piéger l’utilisateur et détourner son identifiant et mot de passe via une application. Si le spécialiste ne donne pas la recette pour créer la fausse pop-up, le résultat montre que la copie est parfaite. Impossible de faire la différence entre la pop-uo officielle et sa copie. « Moins de 30 lignes de code » seraient nécessaires pour créer le piège : « N’importe quel développeur iOS est capable de concevoir son propre code de phishing », explique l’auteur.

« Les utilisateurs sont habitués à entrer leur identifiant Apple à chaque fois qu’iOS les y invite. Cependant, ces popups ne s’affichent pas seulement sur l’écran de verrouillage et l’écran d’accueil, mais également dans des applications aléatoires, par exemple pour accéder à iCloud, GameCenter ou pour des achats intégrés à des apps », souligne le développeur pour souligner la dangerosité de la chose. Il est en effet possible de faire apparaître la fausse boîte de dialogue n’importe où ce qui multiplie les possibilités de phishing.

Comme il est impossible de faire la différence, Felix Krause donne une astuce plutôt efficace : lorsque la pop-up s’affiche, il suffit d’appuyer sur le bouton Home, si l’app associée et la fenêtre se ferment, c’est qu’il s’agit d’un piège. Si l’app et la popup restent affichées, c’est qu’il s’agit d’une demande légitime, le développeur rappelant que les popups du système s’exécutent de manière indépendante.

ZDNet