Ouvrir le menu principal

iGeneration

Recherche

Trou de sécurité dans les fonctions Wi-Fi de l'iPhone OS 3.0

redaction

jeudi 09 juillet 2009 à 12:42 • 1

iPhone

Un nouveau trou de sécurité a fait son apparition sur l'iPhone OS 3.0. Il ne s'agit pas d'une réelle faille en soi, mais d'un détournement des nouvelles fonctions Wi-Fi du système. En effet, depuis la dernière mise à jour, lorsqu'une connexion est établie vers un réseau sans fil nécessitant un nom d'utilisateur et un mot de passe, l'iPhone ouvre automatiquement Safari Mobile pour faciliter la saisie de ces informations.

Imaginons un instant que le réseau Wi-Fi utilisé n'est pas réellement celui que l'on pense et qu'il s'agisse en fait d'un simple pont, étant là uniquement pour récupérer des informations confidentielles ? C'est ce qui peut être fait grâce au système Karmetasploit. Celui-ci sert de passerelle à votre iPhone afin de lui laisser penser qu'il est sur un réseau Wi-Fi nécessitant un nom d'utilisateur et un mot de passe, ce qui le forcera à ouvrir automatiquement le navigateur.

C'est là que les ennuis commencent, Karmetasploit lancera en arrière-plan une série de requêtes qui pourront récupérer des informations telles que les cookies ou vos comptes utilisateurs. Il détournera aussi la plupart des services Internet que vous utiliserez pour enregistrer un maximum de données confidentielles. Pour résumer, il officiera sous la forme d'un serveur tampon qui sauvegardera toutes les informations qui transiteront par le biais du réseau Wi-Fi avant de les renvoyer réellement à destination.

Le problème se trouve en fait dans le système même mis en place par Apple. Lorsqu'une connexion vers un réseau Wi-Fi est effectuée, l'iPhone OS 3.0 contrôle que l'accès internet fonctionne en lançant une requête DNS vers le site www.apple.com. Si celle-ci est positive, rien de particulier ne se produit, tous les services Internet seront automatiquement actifs. Par contre si celle-ci est négative, le système va penser que votre accès Internet nécessite une authentification et à ce moment-là Safari Mobile sera lancé avec les effets expliqués plus haut.

D'un autre côté, Karmetasploit peut être utilisé dans n'importe quelle circonstance, c'est-à-dire que même si Safari ne se lance pas et qu'une connexion vers un réseau de ce type est ouverte, les risques seront plus ou moins les mêmes. Dans cette situation, Apple aide juste à communiquer des informations sensibles, tout particulièrement dans le cas où certains HotSpot nécessitent une carte de crédit pour s'acquitter de son accès Internet.

Source : Max's Blog

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Corning présente le Gorilla Glass Ceramic, encore plus résistant que le Gorilla Glass standard

04/04/2025 à 21:00

• 6


App Store : cinq VPN liés à une entreprise chinoise pourtant sur liste noire aux USA

04/04/2025 à 20:30

• 1


Grâce à la Nintendo Switch 2, les cartes (micro)SD Express arrivent enfin

04/04/2025 à 19:30

• 7


Nintendo retarde les précommandes de la Switch 2 aux États-Unis, à cause de Donald Trump

04/04/2025 à 17:33

• 41


Google propose des jeux pour Android Auto

04/04/2025 à 16:15

• 0


Qualcomm abandonne la 5G mmWave avec son Snapdragon 8s Gen 4, comme Apple avec son modem C1

04/04/2025 à 15:30

• 3


iOS 18.4 : les navigateurs tiers peuvent désormais installer des extensions

04/04/2025 à 13:50

• 11


Silence : une application pour bloquer les appels indésirables sans abonnement

04/04/2025 à 12:30

• 85


Certains utilisateurs rencontrent des difficultés avec CarPlay depuis leur passage à iOS 18.4

04/04/2025 à 11:00

• 35


Test de l’iPhone 16e : pour tout le monde, ou presque

04/04/2025 à 09:26

• 32


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos 🆕

04/04/2025 à 09:25

• 73


Guerre commerciale : le cours de l’action Apple en compote

04/04/2025 à 08:44

• 119


Tentant d’éviter les taxes, Sonos mise sur le mauvais cheval

03/04/2025 à 22:30

• 36


Test d'une prison pour smartphone, pour ceux qui n'arrivent pas à abandonner leur iPhone

03/04/2025 à 20:30

• 6


Orange Téléphone donne maintenant le nom du spammeur qui vous appelle

03/04/2025 à 20:15

• 34


L'Arcep observe une inflation des appels indésirables et abusifs chez les abonnés

03/04/2025 à 17:30

• 43