iPhone SSL Warning and Safari Phishing

– Date : 31 Mars 2009

– Plateforme : Mac OS X

– Programmes :
* Safari
* iPhone

– Gravité : Moyenne

– Exploitation : Distante

– Dommages :
Vol d’informations
Contournement de sécurité

– Description :
Une vulnérabilité a été découverte au sein du navigateur Internet Safari pour iPhone. Un attaquant distant est en mesure de mener une attaque de phishing dans le but de faire accepter un certificat malicieux à un utilisateur.

La faille de sécurité résulte du fait que la fenêtre indiquant à l’utilisateur qu’un certificat SSL est invalide ne spécifie pas l’URL attachée à ce certificat. Ainsi en insérant une iframe, un pirate peut duper l’utilisateur quant au certificat utilisé.

Une preuve de concept [2] a été développée dans le but d’accepter le certificat du site www.bofa.com lors de la visualisation d’une page située sur ha.ckers.org

– Vulnérable :
* Safari sur iPhone

– Référence :

[1] http://ha.ckers.org/blog/20090329/iphone-ssl-warning-and-safari-phishing/

[2] http://ha.ckers.org/bofa.html

– Correction :

Aucun correctif n’est disponible à l’heure actuelle.

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1238490634