Sommaire:
1 - iPhone : après la censure, la fuite d’identité
2 - Blackberry : après les faux sites, les SMS empoisonnés
1) iPhone : après la censure, la fuite d’identité
Pas content du tout, notre confrère de Mac4Ever, après qu’il ait découvert qu’Apple se permettait manifestement de communiquer les coordonnées téléphoniques des clients de l’Appstore aux développeurs des applications téléchargées. Et, pour appuyer encore ses propos, la rédaction du magazine offre un petit PoC (qui ne fonctionne qu’en Helvétie) capable précisément de dévoiler le numéro d’appel de l’heureux client.
Si la profession de « data broker » spécialisé dans la revente de fichiers téléphoniques ne connaît pratiquement aucune limite aux Etats Unis et au Canada, elle reste fortement contrôlée en Europe. Il serait d’ailleurs très intéressant de connaître la proportion de « développeurs » ainsi alimentés par Apple et ayant déposé ces fichiers à caractère privé auprès de la Cnil. Tout comme il serait intéressant de découvrir dans quel paragraphe du contrat de vente, Apple prévient ses clients des libertés qu’il compte prendre avec leurs données personnelles.
En mai dernier, Apple avait déjà montré à quel point le souci de la salubrité mentale de ses clients pouvait être porté au plus haut point. A peine quatre mois plus tard, c’est sans le moindre doute un légitime désir d’améliorer les relations client-fournisseur qui incite le constructeur-éditeur à ouvrir ses fichiers à toute personne susceptible d’enrichir son catalogue d’appliquettes. Rappelons que, des années durant, le leitmotiv des campagnes Apple reposait sur la dénonciation virulente de l’hégémonisme et du "bigbrotherisme" de son ennemi héréditaire, Microsoft.
2) Blackberry : après les faux sites, les SMS empoisonnés
La vulnérabilité signalée par RIM – annonce diffusée notamment sur le site Secunia - ne fais pas partie des failles dramatiques. Il s’agit pour l’heure d’une inconsistance pouvant conduire à une possibilité d’exploitation. Un problème dans la gestion imparfaite des certificats pourrait permettre à un attaquant d’aiguiller un possesseur de Blackberry vers un site compromis en lui faisant croire qu’il navigue sur un serveur « de confiance ». L’attaque utilise comme origine un SMS ou un e-mail contenant l’URL d’incitation. En février dernier, une preuve de faisabilité signée Moxie (stripSSL) prouvait également tromper un usager en faisant passer un serveur compromis pour un autre « certifié ». En juillet, c’était au tour d’Alexander Sotirov et de Mike Zusman de monter un « man in the middle » plus ou moins similaire, qui allait jusqu’à afficher une barre d’adresse « verte » dans le navigateur du terminal.
Par Joker
Tous les services du MagIT sur