L’utilisateur pourrait n’y voir que du feu, car ces fenêtres apparaissent régulièrement sur le système mobile d’Apple. Le chercheur a réalisé une vidéo de démonstration et a publié son code d’exploit sur GitHub.
La faille réside dans la fait que l’application Mail laisse passer un certain type de tag HTML () qui permet de remplacer le contenu du message par un autre après chargement. Ce qui n’est pas possible sur d’autres clients de messagerie tel que Gmail ou Outlook.
En utilisant ce bug dans le cadre d’un formulaire de demande de mot de passe, on a l’impression de voir apparaître une fenêtre pop-up, alors qu’il s’agit en réalité d’un banal formulaire HTML, mais joliment mis en page. C’est d’autant plus crédible que ce formulaire n’apparaîtra que sur un terminal iOS.
Jan Soucek est tombé sur cette faille en janvier dernier.
Il a prévenu Apple, mais ce dernier n’a publié aucun correctif à ce jour. C’est pourquoi il a décidé de rendre cette information publique. La faille concernerait au minimum les versions 8.1.2 et supérieures. Des millions de terminaux sont donc concernés. Il faut espérer qu’elle sera comblée avec l’arrivée d’iOS 9.
