Un développeur autrichien a identifié une vulnérabilité permettant à un cybercriminel de subtiliser les données bancaire d’un utilisateur d’iPhone.
C’est principalement au sein du processus d’achat “in-app” que les utilisateurs sont vulnérables sur leur iPhone. C’est du moins ce qu’explique le développeur autrichien Félix Krause qui a réussi à démontrer à quel point le vol de données bancaires sur iPhone était simple en se basant sur une sorte de technique interne de phishing sous iOS.
Lors de l’installation d’une application, d’une mise à jour du système ou d’un achat effectué au sein d’une application, Apple demande généralement d’indiquer son “Apple ID” pour enclencher l’opération, via une petite fenêtre popup. Felix Krause, via un article sur son blog, explique avoir réussi à reproduire cette petite fenêtre avec une petite trentaine de lignes de code seulement et la résultat tromperait une très grande majorité des utilisateurs…
Le cas le plus risqué se situe lors des achats “in-app, les utilisateurs ayant pris l’habitude d’entrer leurs codes au moment de l’installation d’une application ou de la mise à jour d’iOS. Les pirates pourraient donc simplement exploiter ce “réflexe”, et pourraient, en récupérant les codes, avoir accès aux informations personnelles, notamment des données bancaires. Et si un utilisateur utilise toujours le même mot de passe sur plusieurs services en ligne, la voie d’accès serait royale pour le cybercriminel !
Pour éviter de se faire avoir, Felix Krause conseille d’appuyer sur le bouton accueil des terminaux iPhone ou iPad : si la fenêtre popup en question se ferme, c’est qu’elle n’était qu’une copie. A l’inverse, si elle demeure affichée, c’est que la demande émane bel et bien d’Apple. Encore faut-il s’en souvenir…
Source : L’Express