Les développeurs ayant intégré WebView d’Apple dans leurs applications mobiles ont du souci à se faire. Un chercheur, Collin Mulliner a exhumé une faille relativement facile à exploiter via une ligne de code HTML avec, comme conséquence, de générer des flots d’appels depuis un iPhone. Le risque de ce bug est de servir de vecteur d’appels vers des numéros premium ou, pire, pour des attaques par déni de service. La semaine dernière un jeune hacker avait montré sur YouTube une méthode pour saturer le numéro d’urgence américain, le 911.
Pour le spécialiste, des applications comme Twitter ou LinkedIn sont vulnérables à ce type d’attaque, mais pas Facebook, WhatsApp, Snapchat et Yelp. Cependant le chercheur met en garde sur le fait qu’il existe « des tonnes de messageries et des applications de médias sociaux qui sont potentiellement vulnérables ». Et d’expliquer, « toutes les applications comprenant WebView où une URL peut être chargée et soumise par un utilisateur sont exposées. C’est assez simple et tout le monde peut le faire ».
L’expert a dévoilé sa façon de procéder après avoir notifié le problème à Twitter. Interpellé, ce dernier a considéré que ce sujet avait déjà été traité. De même, il a soumis sa découverte au bug bounty de LinkedIn, mais il s’agit d’un programme privé. Le réseau social va toutefois enquêter sur ce bug. Tout comme Apple sollicité et qui va se pencher sur le problème. Paradoxalement, dans sa recherche, Collin Mulliner s’est appuyé sur une faille datant de 2008 qu’il avait déjà soumis à Twitter à l’époque. Il constate avec effroi que ce bug fonctionne toujours. Pas besoin de grands artifices, il suffit d’envoyer un lien à la victime pour le guider vers un site contenant le code HTML de l’attaquant. Ce code comprend une dizaine de lignes. Ce système peut être automatisé pour appeler plusieurs fois, plusieurs numéros.
A lire aussi :
Sécurité : iOS ne fait pas mieux qu’Android, selon Microsoft
iOS 10 : les sauvegardes sont à la portée des hackers
Microsoft affirme que l'accord européen de 2009 a donné à CrowdStrike les clés du noyau…
Déjà Président du conseil d'administration, l'ex banquier Jean-Pierre Mustier est nommé directeur général d'Atos. Il…
Le Financial Times rapporte qu'OpenAI était en pourparlers avec des concepteurs de semi-conducteurs, dont Broadcom,…
En première ligne pour subir les cyberattaques, les TPE/PME sont aussi les moins bien formées…
La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…
La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…