Un bug du navigateur Safari révèle les mots de passe des utilisateurs

Une enquête menée par des universitaires du Georgia Institute of Technology, de l'Université du Michigan et de l'Université de la Ruhr à Bochum, a indiqué qu'une faille de sécurité dans le navigateur Safari sur les appareils Apple pourrait mettre en danger les mots de passe des comptes de réseaux sociaux et d'autres plateformes auxquelles les utilisateurs y ont accès.

L'équipe de travail a généré, de manière contrôlée, une cyberattaque qui oblige le navigateur à distribuer les mots de passe stockés sur l'ordinateur, en plus de suivre le contenu du compte Gmail et d'autres données privées.

Selon le document de recherche, cela n'est possible que sur les appareils dotés d'unités centrales de traitement ( CPU ) des séries A et M qui se trouvent dans les appareils Apple et exécutent les systèmes d'exploitation iOS et macOS . En particulier, les modèles vulnérables de Mac , iPhone et iPad sont ceux qui ont été fabriqués après 2020 .

Par conséquent, les modèles d'iPhone 12 (standard, mini, Pro et Pro Max), en plus de l'iPhone SE de troisième génération ; Les iPad Air, iPad Pro et iPad sortis cette année-là, ainsi que les ordinateurs Mac , sont les appareils qui seraient vulnérables à cette faille, même ceux qui ont été officiellement lancés au cours des années suivantes jusqu'à aujourd'hui.

Selon le document d'enquête officiel, leur cyberattaque appelée « iLeakage » fonctionne de manière similaire à celle d'une page Web capable d'ouvrir n'importe quelle URL qu'un criminel peut choisir et traite ses informations pour récupérer le mot de passe stocké dans la mémoire de l'appareil, même s'il est protégé par un gestionnaire de mots de passe.

La raison de l'existence de cet échec ne réside pas seulement dans le fonctionnement particulier de Safari , mais profite également d'une vulnérabilité beaucoup plus grande qui affecte toutes les puces de processeur existantes sur le marché : « Spectre » , qui a été découverte en 2017 et ainsi jusqu'à présent, il n'y a pas de solution.

Cette panne n'est pas causée par une erreur logicielle , elle ne peut donc pas être corrigée avec un correctif de sécurité ou une mise à jour, mais fait partie de la conception des processeurs eux-mêmes, donc pour résoudre ce problème, il faudrait complètement modifier la manière dont ces composants sont fabriqués, ce qui n'a pas encore été fait et qui pourrait prendre plusieurs années avant de se concrétiser.

La cyberattaque devient encore plus grave lorsqu'on sait qu'elle ne peut pas être détectée puisqu'elle ne laisse aucune trace dans le registre du système à moins que le pirate n'héberge « iLeakage » dans le cache du navigateur.

Bien qu'iLeakage soit connu pour fonctionner principalement dans le navigateur Safari, cela n'est effectué que sur un ordinateur Mac . Dans le cas d'appareils tels que l'iPhone ou l'iPad, cette vulnérabilité est également générée dans d'autres navigateurs tels que Chrome , Firefox, Opera, entre autres.

De son côté, l'étude indique qu'Apple s'est prononcé sur cet échec et a assuré qu'il tenterait de le corriger avec de nouvelles versions de son système de sécurité dans les prochaines mises à jour du système d'exploitation qui pourraient parvenir aux utilisateurs dans les mois à venir.

En attendant, étant donné qu'iLeakage fonctionne efficacement lorsque les utilisateurs activent le remplissage automatique des champs de mot de passe sur les pages Web , il est recommandé d'éviter d'utiliser cette fonctionnalité jusqu'à ce que le bug soit correctement corrigé dans n'importe quel navigateur .