Vu qu’Apple n’a pas jugé bon de corriger une faille de l’application Mail, un chercheur a publié cette vulnérabilité qui menace des millions d’identifiants iCloud.
Jan Soucek, un chercheur en sécurité, a découvert que l’application Apple Mail pour iOS laisse passer un certain type de tag HTML permettant de remplacer le contenu d’un message par un autre après chargement, ce que n’autorise par exemple pas Gmail ou Outlook.
Il s’agit en fait d’une grosse faille de sécurité vue qu’il est possible d’utiliser de tag HTML dans un mail pour faire afficher un pop-up qui demanderait sournoisement un identifiant et un mot de passe, notamment d’iCloud, alors qu’il ne s’agit en fait que d’un formulaire HTML. Cette attaque serait encore plus sournoise du fait que l’utilisateur ne se méfierait même pas particulièrement de ce pop-up vu que de telles demandes du mot de passe iCloud sont courantes dans iOS.
Ayant découvert cette faille en janvier dernier, Jan Soucek a prévenu Apple. Mais vu que la marque à la pomme n’a toujours pas proposé de correctif à cette faille, le chercheur en sécurité a décidé de la publier. Une vidéo de démonstration ainsi que le code d’exploit sont ainsi disponibles sur GitHub.
Alors que des millions d’identifiants iCloud sont menacés par cette faille, il est bon de préciser qu’elle concerne les versions 8.1.2 et supérieures d’iOS.