Une faille dans Safari sur iOS permet de voler des données confidentielles
Une faille dans Safari (iOS) et Edge (Windows 10) découverte par le chercheur en sécurité Rafay Baloch ouvre la possibilité à un pirate de subtiliser en toute discrétion des informations précieuses.
La page web se charge normalement, avec son URL légitime dans la barre d’adresses du navigateur ; la faille permet au malandrin de modifier rapidement le code de la page web pour y injecter du code dangereux, le tout sans que l’URL ne change.
Le brigand est donc en mesure de créer une fausse page contenant un formulaire de connexion ou de renseignements privés : à lui les identifiants, mots de passe, numéros de cartes bancaires et autres informations confidentielles de ses victimes.
Et après tout, pourquoi ces victimes devraient-elles s’inquiéter ? L’adresse du site web restant la même, il n’y a donc aucune raison de craindre un vol de données. Le chercheur a prévenu Microsoft et Apple de la présence de cette faille le 2 juin, en laissant aux deux éditeurs 90 jours pour y remédier (un délai standard pour une telle procédure).
Le 14 août, Microsoft bouchait le trou dans Edge, mais pour ce qui concerne Apple, aucune info n’a filtré. Les trois mois étant passés, Rafay Baloch peut désormais révéler publiquement le problème, sans toutefois publier le code permettant de l’exploiter.
Si Microsoft a corrigé le tir, il y a de très fortes chances que Apple également?
Dans ce cas qu’ils communiquent dessus...
Sacrées balloches le Balloch
Bah ça du être corrigé dans les beta c'est tout, mais faut attendre qu'elle sorte.
@fousfous
J’espère.
On se rassure comme on peut...
@fousfous
Ouais pas de soucis une telle faille ça peut bien attendre la sorti d’un os, Apple ne va quand même pas se casser à sortir une version mineure d’iOS 11 pour quelques mots de passe ou numéro de CB.
Euh.. l’URL passe de sh3ifu.com à xyzbank.com et il y a une requête POST puis redirection vers sh3ifu.com ....
Je ne vois pas où est la faille la ..
En attendant, essayons d’autres navigateurs web ?
@Liena
Sous iOS ça va être compliqué, car tout est basé sur le moteur de Safari !
@pim
Arf ?
Même firefox ?! ?
tu dois remplir des formulaires quand même (lui n'a pas accès dans ton appareil). il faut faire gaffe quand il s'agit de formulaires à remplir, pas cliquer n'importe quel lien. les sites sérieux t'envoie le lien dans ton mail). en plus ce genre de failles est trop dur a exploiter. pour ça que Apple ne répond même pas s'ils l'ont bouché ou pas.
C'est quoi ce clavier noir dans la vidéo ?
Les touches sont curieusement disposées.
Merci.
MS éditeur professionnel a réagit rapidement.
Est-ce que l'on sait quelles versions d'iOS sont concernées par cette faille dans Safari?
(Ma crainte est que ça touche d'anciennes versions d'iOS encore utilisées, notamment sur les appareils anciens ne pouvant dépasser iOS10 par exemple, car Apple ne corrige JAMAIS les versions antérieures à la version en cours)
Je me réponds après prise de contact avec le chercheur ayant révélé la faille...
Toutes les versions iOS de Safari sont concernées (au moins depuis iOS 9.3, il n'a pas testé de version plus ancienne) y compris sur les dernières bêta d'IOS12, mais également la version la plus récente de Safari sur macOS (y compris sur la bêta de Mojave).
La question concernant Apple est double:
- combien de temps leur faudra-t-il pour combler la faille
- quelles versions de macOS et iOS auront droit au correctif (pour iOS il est à craindre que seul iOS12 soit patché...)
Une chose qui n’arriverait pas avec un site en HTTPS (le démo ne montre que du HTTP). Si ça fonctionne avec une connexion sécurisée, là il y a un problème.