Une page du site apple.com qui fait la promotion du nouveau système d'exploitation de Microsoft.Une erreur de la régie de publicité d'Apple? Non, c'est encore plus risible : une page du site était vulnérable aux XSS.Apple XSS Exploit
Le lien a été publié mardi 3 novembre vers 23h sur le digg-like Reddit, et a tourné toute la nuit, avant qu'Apple ne corrige la faille :
http://www.apple.com/itunes/affiliates/download/?
artistName=Microsoft&thumbnailUrl=
http://www.straitstimes.com/STI/STIMEDIA/image/20090501/windows7-microsoft.jpg&itmsUrl=
Vous pouviez mettre ce que vous voulez dans l'URL : votre pseudo (artistName=), l'image (thumbnailUrl=) et le texte d'accompagnement (albumName=). Un petit malin a donc forgé une URL, affichant une pub plus que flatteuse pour Windows 7. La nouvelle s'est vite propagée (apple est hackable? say pô pôssibleuh!) sur d'autres digg-like, sur twitter et de nombreux blogs du monde entier. Certains ont repris l'astuce à leur compte pour afficher le logo de leur site...c'est drôle, de bonne guerre et inoffensif...mais ça aurait pu très mal tourner.
Malware, Phishing et Pomme vérolée
Le principe de cette faille est que apple.com autorisait l'appel de contenu externe au site. Une image, un texte, mais aussi des codes javascript, flash, ce qui ouvre la porte à toute sorte de filouterie.
Imaginez recevoir un mail d'apple vous invitant à cliquer sur un lien. Pas trop bête, vous regardez avant de cliquer, et vous voyez quelque chose du type : http://www.apple.com/itunes...Ok, ça semble pas mal. Vous cliquez, et vous arrivez effectivement sur le site officiel d'Apple, où un formulaire vous demande nom d'utilisateur, mot de passe (pourquoi pas informations bancaires, tout dépend de l'objet du Phishing). Vous vous exécutez, et sans le savoir vous venez de transmettre vos coordonnées à un pirate.
Imaginez maintenant lire sur un forum que le film Saw VI est visible gratuitement en streaming sur le site d'Apple. Avant de cliquez vous regardez le lien (http://www.apple.com/itunes), vous cliquez, pas de problème vous arrivez bien sur une page du site officiel. Un lecteur video vous demande alors de mettre à jour vos codecs pour être compatible avec la dernière version de blablabla 9.11, vous le faites et bien joué! Vous venez de télécharger un joli petit logiciel espion (oui, même sous MAC ça existe, ex : Lose/Lose).
Via cette méthode un lecteur du site osxdaily.com a réussi à lancer une série de pop-up et du contenu olé-olé, tout cela sous la bannière d'Apple. En terme d'image de marque, cela fait moyen.
Heureusement, l'équipe en charge du site a comblé la brèche en quelques heures. Mais comme l'a fait remarqué je-ne-sais-plus-qui, sur la version française du site il était toujours possible ce matin de faire joujou avec les frames du site (c'est désormais corrigé).
Reste-t'il donc des pages mal sécurisées? Une version roumaine ou brésilienne faillible?
Marrant et une leçon à retenir! Merci pour l'article.
Enregistrer un commentaire