Le chercheur en sécurité Nitesh Dhanjani, a découvert une faille qui pourrait aider les spécalistes du Phishing. Pour rappel, le Phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels (mot de passe, numéro de carte de crédit,…). Le chercheur a démontré qu’il était possible d’utiliser le mode web application d’iOS, qui affiche des pages web en masquant la barre d’url, à des fins malhonnêtes.
Vous l’aurez compris, la barre d’adresse est cachée, il est alors très simple de rediriger l’utilisateur vers un faux site Web, sans qu’il le remarque. Pour imager son exemple, il a mis en place un site web qui reprend l’interface complète du site mobile de Bank of America (voir ci-dessus). Il reprend même la même la barre d’URL qui n’est seulement qu’une image pour que les visiteurs ne se doutent de rien.
Apple a été prévenue du problème potentiel de sécurité de cette faille recèle, mais n’a pas encore pris de mesures pour la contrer.Pour résoudre ce problème, Nitesh Dhanjani préconise d’afficher en permanence le nom de domaine pour informer l’utilisateur.
Source: iPhoneAddict