La faille dévoilée par David Vieira-Kurz de Major Security concerne iOS 5 et 5.1. Safari gère la fonction javascript window.open() de telle manière qu'il est possible, pour un site malicieux, d'afficher dans la barre d'url de Safari une url qui n'est pas celle du site visité. On appelle ça, en jargon geek, le spoofing d'url.
Regardez cette url (c'est sans danger !) depuis Safari sous iOS 5.x. Vous croyez être sur apple.com ? En fait vous êtes chez Major Security. Imaginez, maintenant, la même méthode utilisée dans le but de collecter des informations personnelles, comme vos précieux identifiants Apple. Une vraie faille, avec un vrai risque.
Apple a été prévenue, le 1er mars dernier, mais n'a pas encore corrigé la vulnérabilité dont l'entreprise a tout de même mentionné l'existence, le 20 mars dernier. Le correctif ne devrait plus tarder. En attendant, lorsque vous devez entrer des informations personnelles sur une page web, assurez-vous d'y être allé vous-même, en saisissant l'url, et pas par un lien tiers, sur un site que vous ne connaissez pas.
