Le client messagerie iOS est vulnérable : Apple ne bouge pas

Jan Soucek a découvert une vulnérabilité portant sur le client messagerie iOS (version 8.1.2 et versions supérieures) installé par défaut sur l’iPhone et l’iPad.

Depuis le début de l’année, ce consultant en investigation numérique, rattaché au cabinet d’audit & conseil Ernst and Young (installé en République Tchèque, il est « fan d’Apple et de Tesla Motors » à en croire son profil LinkedIn), essaie d’alerter la « Marque à la Pomme » à ce propos.

Mais, six mois plus tard, il n’a toujours pas obtenu d’écho de la part de la firme de Cupertino, selon BGR.

Dès janvier, Jan Soucek a publié une démo témoin pour clarifier un concept (proof of concept ou PoC en anglais) via une vidéo diffusée sur YouTube et vient d’expliquer sa démarche sur GitHub (portail collaboratif de développement).

Le bug repéré permettrait d’organiser des campagnes de phishing pour voler les code d’accès Apple ID ou iCloud (identifiant et mot de passe).

A travers cette vulnérabilité, il a trouvé un moyen d’injecter du code HTML de manière automatique à travers le client messagerie iOS.

Un pop-up en fait qui ressemble à la boîte de dialogue qui apparaît quand un terminal iOS demande à l’utilisateur de ré-inscrire ses codes d’accès messagerie (iCloud login) ou son Apple ID.

En l’état actuel, Apple n’a pas corrigé cette brèche susceptible de servir de porte d’entrée à des pirates et qui pourrait porter préjudice à des millions de détenteurs de terminaux iOS.

(Crédit photo  : shutterstock.com – Droit d’auteur : Kirill Wright)