Les développeurs ayant intégré WebView d’Apple dans leurs applications mobiles ont du souci à se faire. Un chercheur, Collin Mulliner a exhumé une faille relativement facile à exploiter via une ligne de code HTML avec, comme conséquence, de générer des flots d’appels depuis un iPhone. Le risque de ce bug est de servir de vecteur d’appels vers des numéros premium ou, pire, pour des attaques par déni de service. La semaine dernière un jeune hacker avait montré sur YouTube une méthode pour saturer le numéro d’urgence américain, le 911.

Pour le spécialiste, des applications comme Twitter ou LinkedIn sont vulnérables à ce type d’attaque, mais pas Facebook, WhatsApp, Snapchat et Yelp. Cependant le chercheur met en garde sur le fait qu’il existe « des tonnes de messageries et des applications de médias sociaux qui sont potentiellement vulnérables ». Et d’expliquer, « toutes les applications comprenant WebView où une URL peut être chargée et soumise par un utilisateur sont exposées. C’est assez simple et tout le monde peut le faire ».

L’expert a dévoilé sa façon de procéder après avoir notifié le problème à Twitter. Interpellé, ce dernier a considéré que ce sujet avait déjà été traité. De même, il a soumis sa découverte au bug bounty de LinkedIn, mais il s’agit d’un programme privé. Le réseau social va toutefois enquêter sur ce bug. Tout comme Apple sollicité et qui va se pencher sur le problème. Paradoxalement, dans sa recherche, Collin Mulliner s’est appuyé sur une faille datant de 2008 qu’il avait déjà soumis à Twitter à l’époque. Il constate avec effroi que ce bug fonctionne toujours. Pas besoin de grands artifices, il suffit d’envoyer un lien à la victime pour le guider vers un site contenant le code HTML de l’attaquant. Ce code comprend une dizaine de lignes. Ce système peut être automatisé pour appeler plusieurs fois, plusieurs numéros.

A lire aussi :

Sécurité : iOS ne fait pas mieux qu’Android, selon Microsoft

iOS 10 : les sauvegardes sont à la portée des hackers

Photo via VisualHunt.com

Recent Posts

SIRH : Cegid croque Talentsoft

Pépite de la French Tech et longtemps aspirante au statut de Licorne, Talensoft est rachetée…

8 heures ago

Cloud Formation : VMware hybride aussi le modèle économique

VMware étend son modèle de licence « universelle » à Cloud Formation, dans le cadre…

8 heures ago

Semi-conducteurs : Intel toujours au top des vendeurs

Intel, porté par la demande de processeurs pour PC et serveurs, a conservé son leadership…

9 heures ago

Gestion des vulnérabilités : FBI, CISA et Fortinet alertent

Des vulnérabilités connues dans FortiOS de Fortinet sont encore exploitées. "Appliquez les correctifs et mettez…

14 heures ago

Microsoft acquiert Nuance : pourquoi ce scénario ferait sens

Microsoft et Nuance sont pressentis pour fusionner... dans la continuité de leur partenariat sur le…

16 heures ago

Classement Forbes : les 20 premiers milliardaires de la Tech

8 des 20 personnalités les plus riches du monde aujourd'hui ont fait fortune dans les…

3 jours ago