Il est possible de dérober un mot de passe iCloud avec une campagne de Phishing, Réactions à la publication du 11/10/2017

[Lionel]

Vous avez tous constaté que régulièrement, parfois sans raisons particulières, votre iPhone vous réclame votre mot de passe iCloud.
Un chercheur a exploité cela pour réaliser une preuve de concept permettant de dérober ce mot de passe.

A gauche vous voyez une demande légitime d'iOS, et à droite, un pop-up généré par une application. Ils sont identiques et pourraient largement induire en erreur n'importe qui.

En attendant qu'Apple travaille à cela, le seul moyen de savoir si la demande est réelle est de presser le bouton home. Si le Pop-Up est attaché à l'application il disparaîtra pour revenir quand vous la relancez. S'il reste, il est généré par le système.

Lien vers le billet original

[Bob24]

En attendant qu'Apple travailler à cela, le seul moyen de savoir si la demande est réelle est de presser le bouton home. Si le Pop-Up est attaché à l'application il disparaîtra pour revenir quand vous la relancez. S'il reste, il est généré par le système.

Si c’est le seul moyen, Apple a trois semaines pour proposer une autre solution avant la sortie de l’iPhone X.

[yponomeute]

Je ne vois pas comment on peut empêcher une application d'ouvrir un pop-up, ça fait partie des fonctions de bases d'une application que de pouvoir demander la saisie de données.

[loucheux]

Apple donne le mail d'identification de son compte apple ou c'est juste une info récupérée sur des bases de big data / retargeting ?

[downanotch]

Je ne vois pas comment on peut empêcher une application d'ouvrir un pop-up, ça fait partie des fonctions de bases d'une application que de pouvoir demander la saisie de données.

Le problème est que iOS affiche aussi parfois (il me semble toutefois que c'est de plus en plus rare) d'où la possible confusion. Il y a une solution évoquée dans l'article source : il faudrait que la demande légitime ne se fasse que via une notification qui ouvre l'application Préférences.

Apple donne le mail d'identification de son compte apple ou c'est juste une info récupérée sur des bases de big data / retargeting ?

Je ne crois pas que iOS communique l'Apple ID de l'utilisateur aux applications.

[Macnford]

Je vais partager cette news à madame qui a un iPhone, même si elle ne m'a pas parlé de tels popups.

En revanche, elle est souvent ennuyée en surfant par des pubs clignotantes de type "VOUS AVEZ GAGNÈ UN IPHONE" en plein écran et impossibles à fermer...

[uhflirug]

J’ai deja mentionné ce bug ici dans les forums des popup apple qui s ouvrent au dessus d’autres applications avec un retard, et signalé a apple en meme temps. Tout le monde s’en fiche. Le probleme c’est que tout avance trop vite les gens n’ont pas le temps de se preoccuper de ce genre de choses tant que ca ne fait pas la une des news. Et encore meme le col des donnes de yahoo, ou les photos de star d’icloud .. tout le monde a oublié 1 semaine apres.

Idem avec les enceintes qui ecoutent tout le temps. C’est de l’hypocrisie pure. Que le son soit retransmis en permanance ou pas, peu importe a la limite au final. Accepter une enceinte micro intelligent ca implique d’accepter que ca enregistre en permanance. Ethiquement il n’y a pas de difference car il y a les bugs mais pas seulement il y a les meta donnes qui vehiculent les meme infos que celles quele public aurait ete choqué de savoir transmettre si ca ecoutait en permanance.

[Paolo]

En attendant qu'Apple travailler à cela, le seul moyen de savoir si la demande est réelle est de presser le bouton home. Si le Pop-Up est attaché à l'application il disparaîtra pour revenir quand vous la relancez. S'il reste, il est généré par le système.

Lionel, merci pour ce moyen simple pour éviter de se faire piéger.

[SartMatt]

Je ne vois pas comment on peut empêcher une application d'ouvrir un pop-up, ça fait partie des fonctions de bases d'une application que de pouvoir demander la saisie de données.

Éventuellement, il pourrait y avoir un système détectant les popup imitant le popup "officiel", mais techniquement ça serait pas simple à mettre en place (faudrait quasiment aller se brancher sur le framebuffer du GPU, parce que ce popup pourrait être créé sous forme d'image plutôt qu'en faisant un rendu de texte.

L'autre solution, c'est de rendre le popup officiel inimitable, en effectuant un rendu particulier que les autres applications n'auraient pas la possibilité de reproduire. Par exemple, on pourrait imaginer que tout l'affichage (y compris la barre de status/notifications) glisse vers le bas pour dévoiler la fenêtre de saisie du mot de passe iTunes.

Ou alors, que le mot de passe iTunes ne soit tout simplement jamais demandé avec un popup. Au lieu de faire un popup de saisie du mot de passe, il faudrait faire un popup indiquant "Ouvrez l'application App Store et saisissez votre mot de passe.".

[RaelRael]

et pour les achats integrés aux applis?

[Suricate15]

Il me semble bien que dans MacOS lorsque icloud demande le mot de passe, en fait plutôt souvent, l'ID de l'utilisateur est affiché en estompé dans le champ de gauche. Pour 1password et synchro par icloud, il faut rentrer les deux.

Si c'est une appli ios qui lance ce pop-up il devrait être, en principe, pas trop compliqué de savoir laquelle ? Un doucle clic sur le bouton d'accueil montrera celles qui sont ouvertes (accessibles par l'utilisateur). Ca limite le champ d'action déjà. A moins qu'elle lance une requête sans être ouverte et vue par l'utilisateur. Si c'est un code caché là on sera mal évidemment. Reste encore la solution qui consiste à faire le ménage dans ses applis et utiliser la méthode de Lionel avant, celles qui sont douteuses en tout cas.

NB : à moins d'avoir un ID et mot de passe fournis par des applis genre "revues, journaux etc.." en dehors de l'offre iTunes, les développeurs ne connaissent pas les ID des utilisateurs de leurs applis, à moins de se connecter quelque part chez eux pour une raison quelconque et jamais innocente. Prenez un abo à "Photo Réponses" via iTunes par ex., la revue vous offrira un mois d'abo en plus si vous leur communiquez votre adresse email. Sinon, ils le l'auront pas, vous resterez inconnu(e).

Une appli du genre "Little snitch" ou "Hands Off" sous ios serait la bienvenue..? Pour ma part je n'en connais pas.

[iAPX]

Fondamentalement, c'est le fait d'autoriser une application à prendre le contrôle complet de l'écran et 'afficher ce qu'elle y veut, y-compris une demande de mot-de-passe similaire à celle du système, qui est le problème dans ce cas, et il n'y a rien à y faire.