La mise à jour iOS 10.3 comble des risques d’escroquerie sur Safari

La mise à jour d’iOS en 10.3 ne se limite pas à la seule disponibilité du système de fichiers APFS (Apple File System) en lieu et place du classique HFS+. La nouvelle occurrence de l’OS mobile corrige également nombre de vulnérabilité dont une faille majeure particulièrement perturbante.

Cette faille affectait le navigateur Safari. La version mobile du navigateur d’Apple laissait s’installer un logiciel malveillant (un scareware) récolté sur une page web infectieuse. Le code indélicat bloquait l’usage du navigateur en ouvrant continuellement toute une série de pop-up en boucle (voire l’illustration ci-contre). Les messages affichés incitaient expressément l’utilisateur à payer une rançon (sous forme de cartes cadeau iTunes) pour débloquer le navigateur.

Une méthode inspirée des ransomwares

Un comportement similaire aux ransomwares qui chiffrent les fichiers stockés et ne les rendent à nouveau lisibles que contre paiement. A la différence que, dans le cas de Safari, un simple effacement de l’historique de navigation suffisait à supprimer le problème, rapporte Lookout. Le code d’attaque étant stocké au niveau du bac à sable du navigateur, il est facile de s’en débarrasser. Aucun contenu n’étant chiffré, les cyber-criminels jouaient simplement sur la peur de l’utilisateur pour tenter de le rançonné (d’où le qualificatif de « scareware » à l’agent malveillant). L’éditeur de sécurité avait identifié ce scareware grâce à un utilisateur victime et remonté le problème à Cupertino il y a un mois.

Selon Lookout, ce type d’escroquerie a été écrit pour d’anciennes versions d’iOS, iOS 8 notamment. « Cependant, l’abus de pop-ups dans Safari Mobile était toujours possible jusqu’à iOS 10.3 », indique la société de sécurité. Qui ajoute que « iOS 10.3 ne verrouille pas l’ensemble du navigateur avec ces pop-up, mais il s’exécute sur une base d’onglets de navigation de sorte que si un onglet se comporte mal, l’utilisateur peut le fermer et/ou passer à un autre ». Malgré la facilité avec laquelle il est possible de mettre fin à ce type de désagrément, Lookout recommande néanmoins d’effectuer la mise à jour de l’OS mobile. « Une attaque comme celle-ci met en évidence l’importance de s’assurer que votre appareil mobile, ou les appareils mobiles de vos employés, utilisent des logiciels à jour, justifie Andrew Blaich, chercheur en sécurité chez Lookout. Non corrigée, des bogues comme celui-ci peuvent inutilement alarmer les gens et impacter la productivité. » Une évidence qui va toujours mieux en le disant.

Lire également
iOS et OS X, un piratage par de simples images
Trois failles zero day d’iOS servaient à espionner des dissidents
Sécurité : Apple, Mac OS X et iOS les plus vulnérables en 2015

crédit photo : ymgerman / Shutterstock.com