Safari vulnérable au spoofing d'adresses
La faille permet de lancer des attaques de phishing pour tromper l'utilisateur

Le , par Amine Horseman, Expert éminent sénior
David Lea, un chercheur en sécurité informatique vient de publier un script qui permet de tromper les utilisateurs de Safari sur l’adresse d’origine du site visité en utilisant une technique de spoofing.

Sur l’exemple qu’il montre, le navigateur d’Apple est trompé et affiche l’adresse dailymail.co.uk alors que la page visitée est en réalité deusen.co.uk. Cet exemple a été testé avec succès sur la dernière version de Safari sous iOS et OS X même avec les dernières mises à jour de sécurité installées. Son principe est simple : le code JavaScript que contient la page force le navigateur à visiter un autre site, et cela avant que la page actuelle ne soit chargée. Ceci est répété chaque 10 millisecondes en utilisant la fonction setInterval(), du coup le navigateur n’a pas le temps de modifier l’adresse du site dans la barre d’adresse.

Code : Sélectionner tout
1
2
3
4
5
6
7
<script>
function f()
{
location="dailymail.co.uk/home/index.htm…"+Math.random();
}
setInterval("f()",10);
</script>
Une telle faille de sécurité peut être utilisée pour lancer une attaque de phishing où la personne malveillante fait croire à l’internaute qu’il visite un site officiel, alors que la page affichée est en réalité un faux site similaire au premier et est destiné à voler l’identifiant et le mot de passe de l’utilisateur. Ce dernier, convaincu qu’il visite le site officiel, pourrait très bien entrer le code de sa carte de crédit qui sera ensuite récupéré par le hacker.

Il semblerait que cette attaque marche bien sous MacBook mais pas les iPad. En effet, la barre d’adresse de Safari sur iPad est périodiquement rafraîchie ce qui permet d’affiche l’adresse réelle de la page visitée. Toutefois, certains utilisateurs pourront quand même être trompés puisqu’il n’est pas commun de revérifier constamment sa barre d’adresse pour voir si l’adresse de la page n’a pas changé.

Pour rappel, David Leo, avait publié en février dernier une autre démonstration sur SecureLists où il profita d’une importante faille sur Internet Explorer pour injecter du contenu d’un site sur un autre site tout en faisant croire à l’utilisateur qu’il s’agissait d’un contenu interne.

Source : Net Security

Et vous ?

Que pensez-vous de cette vulnérabilité ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 20/05/2015 à 11:28
cela ne ferait pas la deuxième faille de ce genre annoncée en 3 mois ?
Avatar de DarkBakura DarkBakura - Membre actif https://www.developpez.com
le 20/05/2015 à 11:48
C'est ce que semble indiquer la fin de l'article.

En tout cas c'est assez vicieux comme procédé, et donc inquiétant. Car ici même sans être un débutant notoire en informatique et en navigation web, on peut facilement se faire avoir par ce genre de pratique. J'espère pour les possesseurs de Mac qu'Apple réagira rapidement pour corriger cette faille.

EDIT : Euh ouais, on m'explique le "-1" là ? C'est mal de ne pas être anti-Apple et de souhaiter à ses utilisateurs une correction rapide ? ôo
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 20/05/2015 à 11:55
Citation Envoyé par DarkBakura Voir le message
C'est ce que semble indiquer la fin de l'article.

En tout cas c'est assez vicieux comme procédé, et donc inquiétant. Car ici même sans être un débutant notoire en informatique et en navigation web, on peut facilement se faire avoir par ce genre de pratique. J'espère pour les possesseurs de Mac qu'Apple réagira rapidement pour corriger cette faille.
le rapide chez eux c'est 4 mois et une plainte au tribunal
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 20/05/2015 à 16:09
Citation Envoyé par Amine Horseman Voir le message
Ceci est répété chaque 10 millisecondes en utilisant la fonction setInterval(), du coup le navigateur n’a pas le temps de modifier l’adresse du site dans la barre d’adresse.
c'est moche mais ça doit pas passer totalement inaperçu, le cpu doit grimper au plafond non ? si quelqu'un a l'opportunité de tester...
Avatar de iTruc iTruc - Nouveau membre du Club https://www.developpez.com
le 20/05/2015 à 21:28
Citation Envoyé par BufferBob Voir le message
c'est moche mais ça doit pas passer totalement inaperçu, le cpu doit grimper au plafond non ? si quelqu'un a l'opportunité de tester...
J'ai testé avec mon iPhone 6 sous iOS 8.1.2 (jailbreaké) : ça clignote très rapidement entre la vraie et la fausse adresse. En gros on voit tout de suite qu'il y a quelque chose qui cloche. Le processeur passe d'une utilisation d'environ 5% à... 100%.
Avatar de JayGr JayGr - Membre actif https://www.developpez.com
le 20/05/2015 à 22:52
Citation Envoyé par iTruc Voir le message
J'ai testé avec mon iPhone 6 sous iOS 8.1.2 (jailbreaké) : ça clignote très rapidement entre la vraie et la fausse adresse. En gros on voit tout de suite qu'il y a quelque chose qui cloche. Le processeur passe d'une utilisation d'environ 5% à... 100%.
Merci pour le test.
Mais à l'oeil nu c'est invisible... A moins de garder un oeil sur son proc
Contacter le responsable de la rubrique Accueil