Archives du mot-clé Apple

Un lien en tel:// lance directement un appel sur IOS

Parmi tous les notations de protocoles supportées par les URLs on en trouve des peu utilisées comme tel:// qui permet de lancer un appel téléphonique.

La RFC indique bien sûr que lorsque l’utilisateur clique sur un lien avec ce protocole une demande de confirmation soit affichée.
Seulement chez Apple ils n’ont pas du lire la RFC… Le click sur un tel lien provoque directement le lancement de l’appel téléphonique.

Avec un peu d’astuce html ou javascript on peut imaginer provoquer un déni de service téléphonique ou l’appel de numéros surtaxés…

Malwares et méthodes de persistence sous OSX

C’est une présentation PDF signée Synack qui recense les différentes méthodes de persistence (lancement au boot) sous OSX qui peuvent être utilisées par des malwares.

Le document est exhaustif et donne aussi quelques exemples de méthodes utilisées par des malwares existants.
Un outil Python baptisé Knock Knock permet de faire l’inventaire des programmes lancés au boot sur votre système OSX.

Esclavage moderne pour la fabrication des produits Apple

Via TheRegister et Mac4Ever :

On sait que ce n’est pas la belle vie pour les petites mains qui fabriquent les produits Apple chez le sous traitant Foxconn : travail à la chaîne, interdiction de parler de son travail, mise à tabac par les vigiles, suicides, émeutes…

Il en va de même avec le sous-traitant malaysien Flextronics qui fait venir des travailleurs népalais dans leur pays où le chaumage et la misère sont la norme.
Ainsi Bloomberg a révélé l’histoire d’un népalais qui a du graisser la patte de 3 intermédiaires de Flextronics juste pour avoir le droit de bosser chez eux : 1000$ soit 10 mois de son salaire népalais !

Avec son passeport confisqué par ces personnes, le futur employé est expédié chez Flextronics où il travaille pour 178$ par mois.
Seulement, deux mois plus tard, il est éjecté de la boîte et se retrouve sans revenus en situation clandestine avec la promesse d’être renvoyé chez lui… ce qui n’arrivera pas.
Abandonné dans un hôtel avec ses collègues, affamés, la police les découvre finalement deux mois plus tard et exige que Flextronics leur donne de quoi se nourrir.

OSX : Le mot de passe passe en clair dans la liste des process

Oups… encore une preuve des lacunes d’OSX en terme de sécurité…

Un utilisateur de la pomme s’est rendu compte en surveillant les processus (via un accès SSH) que le nom et le mot de passe d’un utilisateur qui se connecte physiquement sur la machine passe en clair quand on surveille les processus avec les commandes ps ou top.
En effet les identifiants sont bêtement passés en argument à la commande mdmclient.

Conséquence : une mise à jour est dispo pour OSX (si vous avez pas trop mal aux fesses en lisant les conditions d’utilisation)