XMCO : La visite d’une page malicieuse à partir du navigateur de l’iPhone permet d’appeler un numéro sans l’intervention de l’utilisateur
juin 2009 par XMCO PARTNERS
Safari on the Apple iPhone suffers from a vulnerability that allows an attacker to auto-dial a number.
– Date : 19 Juin 2009
– Plateforme : Mac OS X
– Programme : Safari
– Gravité : Elevée
– Exploitation : Avec une page web malicieuse
– Dommage : Contournement de sécurité
– Description :
Une vulnérabilité a été corrigée au sein du navigateur internet Safari installé sur l’iPhone 3G. Un attaquant distant était en mesure d’initier des appels téléphoniques à l’insu de l’utilisateur.
Le navigateur internet Safari permet de gérer le protocole "tel ://". Un fois chargé dans une page HTML (via une balise frame ou iframe par exemple), le navigateur est censé demander à l’utilisateur si celui-ci souhaite réellement appeler le numéro demandé ou non.
La faille de sécurité provient du fait qu’il est possible d’effectuer l’appel sans que l’utilisateur n’ait besoin de confirmer celui-ci. Ce contournement peut s’effectuer lorsque la page HTML tente d’abord d’envoyer un SMS puis d’effectuer un appel téléphonique (voir preuve de concept n°1).
Cette faille de sécurité peut être également exploitée dans le cas où la page HTML malicieuse tente d’appeler un numéro et redirige dans le même temps vers une application telle que Google Maps, Youtube ou encore iTunes (voir preuve de concept n°2).
La vulnérabilité est également présente lors de l’apparition d’évenements JavaScript tel que l’affichage d’une fenêtre d’alerte.
Enfin, une dernière méthode permettait de passer un appel malicieux en provoquant un blocage de la GUI (interface visuelle) pendant quelques secondes ce qui laisse le temps à la page HTML malicieuse de passer l’appel sans que la victime s’en aperçoive...
Note : Le blocage de la GUI pouvait s’effectuer en passant un numéro de téléphone excessivement long à l’application SMS (voir preuve de concept n°3)
Un attaquant distant pouvait alors utiliser ces différentes méthodes afin d’appeler un numéro surtaxé (méthode déjà utilisée par certains virus comme "Pornidal.A" pour la plateforme Symbian OS).
Note : Les pages HTML malicieuses sont disponibles publiquement.
– Exploit :
Un code d’exploitation est disponible sur notre extranet
– Vulnérable :
* iPhone OS 2.1
– Non Vulnérable :
* iPhone OS 2.2
* iPhone OS 2.2.1
* iPhone OS 3.0
– Référence :
http://packetstormsecurity.org/0906-exploits/iphone-makecall.txt
http://www.mulliner.org/iphone/
http://www.mulliner.org/security/advisories/
– Correction :
Nous vous recommandons d’installer un des 3 firmware ci-dessous installant une version corrigée de Safari :
iPhone OS 2.2
iPhone OS 2.2.1
iPhone OS 3.0
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1245399778