Craig Hockenberry, un des développeurs de Twitterrific qui vient d'être mis à jour pour iOS 8, a repéré une faille potentiellement inquiétante dans le système d'exploitation mobile d'Apple. Les applications qui intègrent un navigateur web peuvent siphonner les données tapées par l'utilisateur avec le clavier virtuel; c'est d'autant plus problématique lorsqu'il s'agit d'identifiants et de mots de passe. Hockenberry a mis au point un exemple édifiant, avec une application test qui affiche la version mobile de Twitter. Les informations que l'on voit au dessus de la fenêtre de connexion au réseau social sont générées par l'application, et pas par la webapp : elles peuvent donc être aisément récupérées sur un serveur distant.

Cette technique, qui n'est pas de l'hameçonnage (il s'agit de la vraie fenêtre d'identification de Twitter) et qui fonctionne aussi bien sous iOS 7 et 8, peut s'appliquer à n'importe quel site comportant un formulaire d'authentification. Y compris celui de sa banque en ligne, par exemple… Et les sites en question ne peuvent rien faire contre l'aspiration des données de l'utilisateur, ni contre les modifications opérées par l'application, comme on peut le voir dans la vidéo : l'inscription « Suck it up » sur le bouton (normalement marqué « Sign In ») n'est pas une facétie de Twitter.

Un développeur indélicat est donc en mesure de récupérer les mots de passe et autres précieuses données d'identification des utilisateurs de ses applications. Craig Hockenberry n'a malheureusement aucune solution à fournir, si ce n'est de faire preuve de la plus grande prudence et de ne se fier qu'aux applications en lesquelles on a confiance. Pour éradiquer cette vulnérabilité, Apple devrait revoir WebKit et UIWebView pour toutes les versions d'iOS touchées, intégrant Safari et le moteur de rendu web.

Apple pourrait également protéger ses utilisateurs en mettant en pratique le protocole OAuth, qui autorise un site web à utiliser l'API sécurisée d'un autre site web, tout en protégeant les identifiants et mots de passe de l'utilisateur. Il semble cependant que l'implémentation de cette technique soit contraire aux règles de l'App Store : c'est d'ailleurs la raison pour laquelle la dernière mise à jour de Twitterrific n'a pas pu être disponible en même temps qu'iOS 8, une première pour le client Twitter. Ce dernier devait justement intégrer un système d'échange de jetons avec Safari à la manière d'OAuth, mais cela a été rejeté par la boutique d'apps.