Il est possible de dérober un mot de passe iCloud avec une campagne de Phishing, Réactions à la publication du 11/10/2017 |
Bienvenue invité ( Connexion | Inscription )
Il est possible de dérober un mot de passe iCloud avec une campagne de Phishing, Réactions à la publication du 11/10/2017 |
11 Oct 2017, 06:04
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 346 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Vous avez tous constaté que régulièrement, parfois sans raisons particulières, votre iPhone vous réclame votre mot de passe iCloud.
Un chercheur a exploité cela pour réaliser une preuve de concept permettant de dérober ce mot de passe. A gauche vous voyez une demande légitime d'iOS, et à droite, un pop-up généré par une application. Ils sont identiques et pourraient largement induire en erreur n'importe qui. En attendant qu'Apple travaille à cela, le seul moyen de savoir si la demande est réelle est de presser le bouton home. Si le Pop-Up est attaché à l'application il disparaîtra pour revenir quand vous la relancez. S'il reste, il est généré par le système. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
11 Oct 2017, 07:56
Message
#2
|
|
Adepte de Macbidouille Groupe : Membres Messages : 92 Inscrit : 30 Jan 2007 Membre no 79 486 |
En attendant qu'Apple travailler à cela, le seul moyen de savoir si la demande est réelle est de presser le bouton home. Si le Pop-Up est attaché à l'application il disparaîtra pour revenir quand vous la relancez. S'il reste, il est généré par le système. Si c’est le seul moyen, Apple a trois semaines pour proposer une autre solution avant la sortie de l’iPhone X. |
|
|
11 Oct 2017, 07:59
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
Je ne vois pas comment on peut empêcher une application d'ouvrir un pop-up, ça fait partie des fonctions de bases d'une application que de pouvoir demander la saisie de données.
-------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
11 Oct 2017, 08:00
Message
#4
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 539 Inscrit : 23 Jul 2003 Membre no 8 733 |
Apple donne le mail d'identification de son compte apple ou c'est juste une info récupérée sur des bases de big data / retargeting ?
-------------------- Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste
|
|
|
11 Oct 2017, 08:21
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Je ne vois pas comment on peut empêcher une application d'ouvrir un pop-up, ça fait partie des fonctions de bases d'une application que de pouvoir demander la saisie de données. Le problème est que iOS affiche aussi parfois (il me semble toutefois que c'est de plus en plus rare) d'où la possible confusion. Il y a une solution évoquée dans l'article source : il faudrait que la demande légitime ne se fasse que via une notification qui ouvre l'application Préférences. Apple donne le mail d'identification de son compte apple ou c'est juste une info récupérée sur des bases de big data / retargeting ? Je ne crois pas que iOS communique l'Apple ID de l'utilisateur aux applications. |
|
|
11 Oct 2017, 09:01
Message
#6
|
|
Macbidouilleur Aux Jantes Alu Groupe : Membres Messages : 2 570 Inscrit : 10 Feb 2003 Membre no 6 100 |
Je vais partager cette news à madame qui a un iPhone, même si elle ne m'a pas parlé de tels popups.
En revanche, elle est souvent ennuyée en surfant par des pubs clignotantes de type "VOUS AVEZ GAGNÈ UN IPHONE" en plein écran et impossibles à fermer... |
|
|
11 Oct 2017, 09:37
Message
#7
|
|
Nouveau Membre Groupe : Membres Messages : 31 Inscrit : 10 Oct 2016 Membre no 199 964 |
J’ai deja mentionné ce bug ici dans les forums des popup apple qui s ouvrent au dessus d’autres applications avec un retard, et signalé a apple en meme temps. Tout le monde s’en fiche. Le probleme c’est que tout avance trop vite les gens n’ont pas le temps de se preoccuper de ce genre de choses tant que ca ne fait pas la une des news. Et encore meme le col des donnes de yahoo, ou les photos de star d’icloud .. tout le monde a oublié 1 semaine apres.
Idem avec les enceintes qui ecoutent tout le temps. C’est de l’hypocrisie pure. Que le son soit retransmis en permanance ou pas, peu importe a la limite au final. Accepter une enceinte micro intelligent ca implique d’accepter que ca enregistre en permanance. Ethiquement il n’y a pas de difference car il y a les bugs mais pas seulement il y a les meta donnes qui vehiculent les meme infos que celles quele public aurait ete choqué de savoir transmettre si ca ecoutait en permanance. |
|
|
11 Oct 2017, 10:03
Message
#8
|
|
Adepte de Macbidouille Groupe : Membres Messages : 112 Inscrit : 13 Jun 2003 Lieu : Paris Membre no 8 038 |
En attendant qu'Apple travailler à cela, le seul moyen de savoir si la demande est réelle est de presser le bouton home. Si le Pop-Up est attaché à l'application il disparaîtra pour revenir quand vous la relancez. S'il reste, il est généré par le système. Lionel, merci pour ce moyen simple pour éviter de se faire piéger. -------------------- |
|
|
11 Oct 2017, 10:18
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
Je ne vois pas comment on peut empêcher une application d'ouvrir un pop-up, ça fait partie des fonctions de bases d'une application que de pouvoir demander la saisie de données. Éventuellement, il pourrait y avoir un système détectant les popup imitant le popup "officiel", mais techniquement ça serait pas simple à mettre en place (faudrait quasiment aller se brancher sur le framebuffer du GPU, parce que ce popup pourrait être créé sous forme d'image plutôt qu'en faisant un rendu de texte.L'autre solution, c'est de rendre le popup officiel inimitable, en effectuant un rendu particulier que les autres applications n'auraient pas la possibilité de reproduire. Par exemple, on pourrait imaginer que tout l'affichage (y compris la barre de status/notifications) glisse vers le bas pour dévoiler la fenêtre de saisie du mot de passe iTunes. Ou alors, que le mot de passe iTunes ne soit tout simplement jamais demandé avec un popup. Au lieu de faire un popup de saisie du mot de passe, il faudrait faire un popup indiquant "Ouvrez l'application App Store et saisissez votre mot de passe.". -------------------- |
|
|
11 Oct 2017, 12:45
Message
#10
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 336 Inscrit : 5 Sep 2005 Membre no 45 180 |
et pour les achats integrés aux applis?
|
|
|
11 Oct 2017, 18:19
Message
#11
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 302 Inscrit : 16 Dec 2013 Membre no 188 324 |
Il me semble bien que dans MacOS lorsque icloud demande le mot de passe, en fait plutôt souvent, l'ID de l'utilisateur est affiché en estompé dans le champ de gauche. Pour 1password et synchro par icloud, il faut rentrer les deux.
Si c'est une appli ios qui lance ce pop-up il devrait être, en principe, pas trop compliqué de savoir laquelle ? Un doucle clic sur le bouton d'accueil montrera celles qui sont ouvertes (accessibles par l'utilisateur). Ca limite le champ d'action déjà. A moins qu'elle lance une requête sans être ouverte et vue par l'utilisateur. Si c'est un code caché là on sera mal évidemment. Reste encore la solution qui consiste à faire le ménage dans ses applis et utiliser la méthode de Lionel avant, celles qui sont douteuses en tout cas. NB : à moins d'avoir un ID et mot de passe fournis par des applis genre "revues, journaux etc.." en dehors de l'offre iTunes, les développeurs ne connaissent pas les ID des utilisateurs de leurs applis, à moins de se connecter quelque part chez eux pour une raison quelconque et jamais innocente. Prenez un abo à "Photo Réponses" via iTunes par ex., la revue vous offrira un mois d'abo en plus si vous leur communiquez votre adresse email. Sinon, ils le l'auront pas, vous resterez inconnu(e). Une appli du genre "Little snitch" ou "Hands Off" sous ios serait la bienvenue..? Pour ma part je n'en connais pas. -------------------- « La perfection des moyens et la confusion des buts semblent caractériser notre époque. » A. Einstein.
|
|
|
14 Oct 2017, 02:39
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 384 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Fondamentalement, c'est le fait d'autoriser une application à prendre le contrôle complet de l'écran et 'afficher ce qu'elle y veut, y-compris une demande de mot-de-passe similaire à celle du système, qui est le problème dans ce cas, et il n'y a rien à y faire.
-------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
Nous sommes le : 28th April 2024 - 02:02 |