Un jour de plus, une autre faille de sécurité grave est découverte sur une plateforme mobile. Cette fois, un trou a été trouvé dans iOS, le système d’Apple qui fonctionne sur l’iPod Touch, les iPhones et les iPads de la société. Ce bogue, découvert par le chercheur David Viera-Kurz, provoque l’affichage d’une URL légitime dans la barre d’adresse, même si la page ouverte dans le navigateur est une autre complètement différente. Il s’agit de l’usurpation d’adresse déjà connue.
Cela permet, par exemple, d’ouvrir une page prétendant provenir d’une banque ou d’un service de courrier électronique et d’afficher l’adresse légitime, ce qui amène l’utilisateur à croire qu’il est sur la bonne page et à entrer ses données. L’échec se situe notamment dans la manière dont Safari gère la méthode JavaScript utilisée pour ouvrir une nouvelle fenêtre. Apparemment, il peut recevoir et afficher une URL dans la barre d’adresse pendant qu’une autre page s’ouvre.
Pour voir l’échec en action, visitez ce lien de démo créé par David sur un appareil fonctionnant avec la version 5 d’iOS. Pour ceux qui n’en ont pas, les pages affichées seront celles ci-dessous.
Selon le chercheur, Apple a été informé le premier jour du mois et la société a admis l’existence du bug deux jours plus tard. Mais à l’époque, ce bogue avait été identifié dans l’iOS 5.0 et apparemment non corrigé dans la version 5.1, mise à disposition des utilisateurs le 7 mars.
La recommandation est toujours la même : évitez de cliquer sur des liens provenant de sites que vous ne reconnaissez pas ou auxquels vous ne faites pas confiance. Au moins jusqu’à ce que les ingénieurs en logiciels d’Apple trouvent une solution et que la société publie la mise à jour du système, ce qui ne devrait pas prendre longtemps.
