OS 3.0 : nouvelle faille de sécurité
Après la «faille SMS» (lire «iPhone : la faille SMS»), un groupe de chercheurs a repéré un nouveau trou de sécurité sur l’iPhone OS 3.0. Celui-ci utilise Safari Mobile et permettrait à un petit malin de récupérer les cookies, les informations de compte, et d’autres données confidentielles.
La fonction de reconnaissance wifi, qui permet à l’iPhone de se connecter automatiquement aux hot-spots connus, est dans le collimateur : normalement, quand l’iPhone accroche un tel réseau, Safari Mobile envoie une requête DNS sur le site d’Apple qui affiche une page HTML de son site web. Mais il arrive que le hot-spot ne soit pas connu par Safari, qui s’ouvre alors sur un portail réclamant les identifiants de l’utilisateur.
Combiné à l’utilisation d’une application comme Karmetasploit sur un hot-spot malicieux, il est ensuite possible de pénétrer dans l’iPhone ou l’iPod touch via cette fenêtre de Safari ouverte. Ce serait pas de bol, avouez-le, mais il est possible que cela arrive…
