Un spécialiste en sécurité a mis en évidence deux nouvelles failles dans le client mail de l'iPhone.
Le spécialiste en sécurité Aviv Raff a révélé cette semaine deux nouvelles failles de sécurité touchant l'OS des iPhone et iPod Touch. Les deux failles sont situées dans l'application Mail.app.
La première concerne le téléchargement systématique de toute image jointe dans un email lors de sa réception sur l'iPhone. Lors du téléchargement des images du mail, le dialogue initié par l'application Mail.app avec le serveur émetteur du mail lui indique que l'image a été ouverte sur le client et révèle donc qu'il s'agit bien d'un client réel qui pourra donc être l'objet de spam ultérieurement.
La seconde concerne la manière dont Mail.app affiche les URL dans les messages. Le lien HTML affiché dans un message ne correspond pas forcément à la véritable URL vers laquelle il renvoie, c'est ce qu'on appelle le Phishing. Sur son ordinateur, il suffit de passer la souris sur le lien sans le cliquer pour voir la véritable URL en bas dans le navigateur, sur iPhone il faut laisser appuyer sur l'URL pour qu'elle s'affiche dans une bulle, mais elle ne s'affiche alors que partiellement pour tenir dans la largeur imposée de l'écran. Il devient alors possible de ce fait, de simuler une URL sans que l'utilisateur ne s'en apperçoive si elle est trop longue pour être affichée.
Aviv Raff a communiqué à Apple ces failles depuis un moment déjà et les a également rendues publiques devant la non-réaction du constructeur.
Il a déclaré : "Je pense qu'ils (Apple) mettent leurs utilisateurs en péril en ne corrigeant pas ça, au moins maintenant les utilisateurs qui liront cet article feront attention. Ce n'est qu'une question de temps avant qu'une personne malintentionnée n'utilise ces failles."
Source : iphonealley
