Découverte depuis plusieurs mois, cette faille de sécurité permet à des personnes malintentionnées de récupérer votre mot de passe iCloud.
Mauvaise nouvelle pour les utilisateurs de smartphones et tablettes Apple. Après le récent bug de SMS qui faisait planter l’iPhone, une nouvelle faille de sécurité a été découverte dans l’application Mail de la marque à la Pomme.
C’est Jan Soucek, un chercheur en sécurité tchèque, qui a révélé l’existence de cette faille permettant à des personnes malintentionnées d’envoyer un mail de hameçonnage (plus communément appelé phishing, NDLR) afin de dérober l’identifiant et le mot de passe de votre compte iCloud.
Ce chercheur explique que le bug permet à du contenu HTML distant d'être chargé afin de remplacer le contenu initial du message reçu par mail. Même après avoir désactivé JavaScript, il est encore possible de mettre au point un récupérateur de mots de passe fonctionnel en utilisant simplement du HTML et du CSS.
Ci-dessous, une vidéo pour illustrer le fonctionnement de cette vulnérabilité.
Jan Soucek a envoyé un e-mail à Apple le 15 janvier dernier pour que l’entreprise américaine prenne des mesures, mais devant l’inaction de cette dernière, l’informateur a décidé de publier ses travaux sur GitHub dans l’espoir de faire réagir la firme de Cupertino et ainsi trouver rapidement un correctif.