Une faille de sécurité dans iOS 5.1, Réactions à la publication du 26/03/2012 |
Bienvenue invité ( Connexion | Inscription )
Une faille de sécurité dans iOS 5.1, Réactions à la publication du 26/03/2012 |
25 Mar 2012, 22:45
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 335 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Une faille de sécurité a été découverte dans iOS 5.1. Si elle ne permet pas à un pirate de pénétrer le mobile, elle peut permettre à des spécialistes du Phishing de leur faciliter la tâche. En effet, cette faille leur permet de vous faire croire que vous êtes sur un site particulier alors qu'en fait vous serez sur une page clone.
Voici le moyen de la tester sans danger.
Comme vous pouvez le voir sur la capture, tout semble indiquer que l'on est sur le site Apple.com, mais en fait, on est toujours sur le site en question, ce qui permettrait des phishings bien plus crédibles. Apple est au courant de ce problème et devrait le régler assez rapidement. Par Lionel -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
25 Mar 2012, 23:15
Message
#2
|
|
Adepte de Macbidouille Groupe : Membres Messages : 171 Inscrit : 3 Apr 2010 Membre no 152 424 |
existe en ios 3.1.3. je viens de tester
-------------------- MacPro 2.93GHz Quad-Core Intel Xeon 8Go ATI Radeon 4870HD
Apple Cinema Display 30" - Mac os Lion - Bootcamp Window7 + Virtualbox Ubuntu 10 - EOS 50D + Sigma 8-16 + Sigma 120-400 |
|
|
26 Mar 2012, 00:08
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 329 Inscrit : 8 Oct 2010 Membre no 159 876 |
Ce bug ne fonctionne pas avec Ghostery, , en attendant qu'Apple le corrige.
http://itunes.apple.com/fr/app/ghostery/id472789016?mt=8 |
|
|
26 Mar 2012, 07:40
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 820 Inscrit : 1 Jul 2010 Membre no 156 073 |
Je viens de tester avec Opera Mini sur l'iPad : pas de problème
Par contre avec un autre navigateur WebKit (Dolphin HD) la faille est exploitée comme avec Mobile Safari. Ce serait donc WebKit dans iOS, testé sans problème avec deux WebKit sur Android. -------------------- L'homme n'est que poussière... c'est dire l'importance du plumeau ! Alexandre Vialatte
|
|
|
26 Mar 2012, 07:44
Message
#5
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 422 Inscrit : 2 Jun 2001 Lieu : Sarreguemines (Moselle) Membre no 330 |
Ça marche aussi sous mac os 10.5 avec safari sous PPC.
Par contre si on recharge la page on tombe bien sur le site d'apple. Si on fait bien attention on se rend que le nom de la page est "sans titre" au lieu d'"apple". -------------------- "On tue un homme, on est un assassin. On tue des millions d'hommes, on est un conquerant. On les tue tous, on est un dieu." Jean Rostand
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la règle d'éligibilité |
|
|
26 Mar 2012, 08:03
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 820 Inscrit : 1 Jul 2010 Membre no 156 073 |
La faille n'est pas exploitée en surfant avec l'app Google Search sur l'iPad (sans doute à base de WebKit pourtant…).
-------------------- L'homme n'est que poussière... c'est dire l'importance du plumeau ! Alexandre Vialatte
|
|
|
26 Mar 2012, 13:00
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
La faille n'est pas exploitée en surfant avec l'app Google Search sur l'iPad (sans doute à base de WebKit pourtant…). Le problème vient de l'interface du navigateur (puisque c'est la barre d'adresse qui affiche une information incorrecte), pas du moteur de rendu. Il est donc peu surprenant que d'autres navigateurs basés sur WebKit (à part Opera, tous les navigateurs iOS sont basés sur WebKit, c'est une contrainte App Store) ne soient pas forcément affectés.
-------------------- |
|
|
26 Mar 2012, 13:38
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 820 Inscrit : 1 Jul 2010 Membre no 156 073 |
@SartMatt Safari n'est pas le seul, Dolphin HD se comporte de la même manière. Ce n'est donc pas un problème spécifique à l'interface de Safari. Faudrait tester avec d'autres WebKit pour iOS.
C'est étrange quand même. Ce ne serait donc pas spécifique à Safari ni à WebKit. Le petit test que j'ai fait (étant donné que Google Search n'affiche pas de barre d'adresse) : se rendre à l'adresse indiquée puis cliquer sur demo puis j'utilise la fonction « Ouvrir dans Safari » présente dans Dolphin HD et Google Search : Dolphin HD ouvre http://www.apple.com dans Safari, Google Search ouvre http://majorsecurity.net/html5/ios51-demo.html. Étonnant, non ? Ce message a été modifié par scoch - 26 Mar 2012, 13:47. -------------------- L'homme n'est que poussière... c'est dire l'importance du plumeau ! Alexandre Vialatte
|
|
|
26 Mar 2012, 14:29
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
@SartMatt Safari n'est pas le seul, Dolphin HD se comporte de la même manière. Ce n'est donc pas un problème spécifique à l'interface de Safari. Faudrait tester avec d'autres WebKit pour iOS. Je dirais tout simplement que l'interface de Dolphin est affectée par le même bug.C'est étrange quand même. Ce ne serait donc pas spécifique à Safari ni à WebKit. Le petit test que j'ai fait (étant donné que Google Search n'affiche pas de barre d'adresse) : se rendre à l'adresse indiquée puis cliquer sur demo puis j'utilise la fonction « Ouvrir dans Safari » présente dans Dolphin HD et Google Search : Dolphin HD ouvre http://www.apple.com dans Safari, Google Search ouvre http://majorsecurity.net/html5/ios51-demo.html. Étonnant, non ? Avec Chrome Beta (WebKit également) et Firefox Mobile (pas du tout WebKit...), j'ai le même comportement qu'avec Dolphin, je reproduit, mais avec deux clics sur Demo. Le fait que ça arrive aussi sur Firefox Mobile tend à confirmer que le problème est bien lié à l'interface du navigateur qui ne gère pas correctement certaines choses, et pas à son moteur de rendu. Avec une faille probablement plus liée à un défaut de conception (cas tordu pas pris en compte) qu'à un bug d'implémentation, vu qu'il y a peu de chances de trouver un même bug d'implémentation dans plusieurs navigateurs différents EDIT : en fait il semblerait que dans le cas de deux clics, je sois effectivement envoyé sur le site d'Apple, sans iframe, donc c'est normal que l'adresse d'Apple s'affiche dans ce cas ^^ Par contre avec Dolphin sous Android et un simple clic, y a quand même un souci, je me retrouve avec une barre d’adresse vide. Ce message a été modifié par SartMatt - 26 Mar 2012, 14:35. -------------------- |
|
|
26 Mar 2012, 16:00
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 820 Inscrit : 1 Jul 2010 Membre no 156 073 |
EDIT : en fait il semblerait que dans le cas de deux clics, je sois effectivement envoyé sur le site d'Apple, sans iframe, donc c'est normal que l'adresse d'Apple s'affiche dans ce cas ^^ Je viens d'avoir ce que tu décris avec Dolphin HD mais avec Chrome sur le Nexus : ouverture d'une nouvelle fenêtre avec barre d'adresse vide et une iframe toute riquiqui, impossible de se faire avoir. -------------------- L'homme n'est que poussière... c'est dire l'importance du plumeau ! Alexandre Vialatte
|
|
|
Nous sommes le : 19th April 2024 - 00:11 |