Apple Mail : une faille permet de dérober les identifiants iCloud
Apple alerté depuis 6 mois
Le 2015-06-10 21:09:52, par Olivier Famien, Chroniqueur Actualités
Une vulnérabilité dans le client mail d’iOS vient d’être mise au grand jour six mois après sa découverte. Les faits remontent à janvier dernier, lorsque Jan Soucek, un utilisateur du client mail, a découvert par hasard un bug dans l’application mail d’iOS.
Ce bug avait pour origine le fait que l’application prenait en compte la balise <meta http-equiv=refresh> alors qu’elle devrait l’ignorer.
En conséquence, un tiers pourrait utiliser cette faille pour injecter du code afin de remplacer le contenu d’une page générée par l’application alors qu’elle serait en réalité le fruit d’un individu mal intentionné.
Jan Soucek qui a poussé ses recherches concernant cette vulnérabilité est parvenu à faire afficher une boite de dialogue demandant les identifiants iCloud de l’utilisateur comme si l’action avait été déclenchée par l’application mail elle-même. Il faut souligner que cette boite de dialogue est générée par le client mail d’iOS du destinataire après réception d’un mail contenant du code HTML.
Dans la preuve de concept élaboré par Jan Soucek, ce dernier explique ci-dessous les différentes étapes pour parvenir à rediriger le client mail et par-delà collecter le mot de passe d’un utilisateur
Soucek précise également qu’il a évité de coder en dur en utilisant la méthode http-equiv car cela pourrait générer une fenêtre semblable à celle déclenchée par iOS même lorsqu’on se trouverait sur un client mail Yahoo ou Gmail. Bien évidemment, l’utilisateur soupçonnerait immédiatement la supercherie et passerait son chemin. Alors que dans l'autre cas, la balise de redirection meta est ignorée par les autres clients mail, le mail ouvert, par un autre client mail serait considéré, comme un simple message.
Il faut également préciser que Jan Soucek qui avait alerté Apple dès les premières heures de la découverte en janvier a également posté une démonstration de l’attaque sur YouTube pour attirer l’attention de tous.
Toutefois, aucun patch n’a été publié après la publication et plus précisément à la sortie des mises d’iOS8.1.2.
Six mois plus tard, aucune réaction de la part d’Apple ne s’est fait sentir et les correctifs pour cette faille se font toujours attendre. C’est pourquoi, Soucek a pris sur lui de rendre public le code source de son kit afin de contraindre la firme de Cupertino à publier un correctif pour cette vulnérabilité.
Source : Dépôt GitHub de Jan Soucek, Page d’assistance du dépôt sur GitHub
Et vous ?
Ce bug avait pour origine le fait que l’application prenait en compte la balise <meta http-equiv=refresh> alors qu’elle devrait l’ignorer.
En conséquence, un tiers pourrait utiliser cette faille pour injecter du code afin de remplacer le contenu d’une page générée par l’application alors qu’elle serait en réalité le fruit d’un individu mal intentionné.
Jan Soucek qui a poussé ses recherches concernant cette vulnérabilité est parvenu à faire afficher une boite de dialogue demandant les identifiants iCloud de l’utilisateur comme si l’action avait été déclenchée par l’application mail elle-même. Il faut souligner que cette boite de dialogue est générée par le client mail d’iOS du destinataire après réception d’un mail contenant du code HTML.
Dans la preuve de concept élaboré par Jan Soucek, ce dernier explique ci-dessous les différentes étapes pour parvenir à rediriger le client mail et par-delà collecter le mot de passe d’un utilisateur
- Modifer l’adresse e-mail que vous souhaitez utiliser pour la collecte de mot de passe dans framework.php
- Charger index.php, framework.php et mydata.txt sur votre serveur
- Envoyer un email contenant du code HTML vers le sujet de recherche à partir de email.html
- Ne pas oublier de changer la valeur du paramètre modal-username GET en l’adresse e-mail du destinataire
- Vous pouvez utiliser l’adresse cette page à des fins de tests
Soucek précise également qu’il a évité de coder en dur en utilisant la méthode http-equiv car cela pourrait générer une fenêtre semblable à celle déclenchée par iOS même lorsqu’on se trouverait sur un client mail Yahoo ou Gmail. Bien évidemment, l’utilisateur soupçonnerait immédiatement la supercherie et passerait son chemin. Alors que dans l'autre cas, la balise de redirection meta est ignorée par les autres clients mail, le mail ouvert, par un autre client mail serait considéré, comme un simple message.
Il faut également préciser que Jan Soucek qui avait alerté Apple dès les premières heures de la découverte en janvier a également posté une démonstration de l’attaque sur YouTube pour attirer l’attention de tous.
Toutefois, aucun patch n’a été publié après la publication et plus précisément à la sortie des mises d’iOS8.1.2.
Six mois plus tard, aucune réaction de la part d’Apple ne s’est fait sentir et les correctifs pour cette faille se font toujours attendre. C’est pourquoi, Soucek a pris sur lui de rendre public le code source de son kit afin de contraindre la firme de Cupertino à publier un correctif pour cette vulnérabilité.
Source : Dépôt GitHub de Jan Soucek, Page d’assistance du dépôt sur GitHub
Et vous ?
-
IradrilleExpert confirméMême si c'est une des seules façons de pousser Apple à réagir, ça peut très mal se finir pour ce pauvre Mr Soucek.
Ca ne serait pas la première fois qu'exposer publiquement une faille de sécurité serait puni.le 11/06/2015 à 2:31 -
TiranusKBXExpert confirméQu'il se paye un procès ou non dépend complètement de la manière qu'il à utilisé pour révéler la faille
La seule chose que je puisse dire c'est que mettre en ligne la source de sont exploit n'est pas en sa faveur
mais il est vrais qu'il aurait pus faire des dégâts avec cela, du coup Apple vas maintenant réagir car il vont voire cela comme une menace et non plus comme une petite gènele 11/06/2015 à 14:38 -
23JFKMembre expertQuel gâchis ! Et dire qu'il aurait pu récupérer les sexyselfies des dernières starlettes bankables
Ou carrément prendre le contrôle de la société Apple en espionnant le compte cloud de Tim Cook et de lui prélever quelques milliards ... Bah NON! MÔssieur préfère se manger un procès et se faire déchiqueter par le service juridique d'Apple
La faille est vraiment désarmente de simplicité, on se demanderait presque comment elle a pu passer inaperçue si longtemps...
Les clients Apple son tellement convaincus de l'invulnérabilité de cette société que l'on puît douter que l'un d'entre eux eût soupçonné être victime d'un phishing de leur compte iCloud, et ce, même si aucune précaution n'avait été prise pour inactiver l'attaque depuis les autres clients de mailing.
Envoyé depuis mon Nexus7le 11/06/2015 à 5:40