Raccourcis : attention aux raccourcis importés

Lorsque vous avez créé un raccourci complexe, vous pouvez le partager pour que d’autres en profite. Et bien entendu, je parle bien du raccourci et non d’une capture d’écran des actions. Pour cela, vous avez le bouton de partage dans la vue d’édition des raccourcis.

Si vous pouvez partager un raccourci, vous pouvez également en importer. Et là, attention, car un raccourci n’est rien d’autre qu’un programme informatique. En important aveuglément un raccourci, vous vous exposez à certains risques.

Avant d’exposer les risques, je vais rappeler que les Raccourcis ne peuvent s’exécuter automatiquement. Ainsi, un raccourci malicieux ne sera dangeureux que si vous le déclenchez.

Mardi, iGeneration a rapporté qu’un développeur iOS est tombé sur un raccourci malicieux. Celui-ci, en se faisant passer pour un optimiseur de mémoire, vole de nombreuses informations personnelles.

Ce raccourci rassemble dans un dossier diverses données comme les contacts, les adresses, l’historique de navigation ou les fichiers enregistrés sur l’appareil. Il met ensuite en ligne ce dossier sur un serveur et partage le lien au pilleur via iMessage. Pour rester discret, une partie des actions est camouflée en base64.

Ce risque ne provient pas d’une faille technique. Raccourcis est une app puissante, peut-être trop, ce qui lui permet de vous rendre de grands services. Mais la contre-partie est toujours le risque lorsque vous l’utilisez trop aveuglément. Ce raccourci exploitait donc surtout la crédulité des utilisateurs.

Il est donc nécessaire d’avoir une certaine discipline face aux raccourcis provenant de tiers :

• N’utilisez que des raccourcis provenant de personnes ou de sites de confiance. C’est un classique qui devrait être évident. Privilégiez donc les raccourcis de la galerie de l’app. Le site Sharecuts recense des raccourcis de personnes connues de la communauté Apple. ShortcutsGallery est plus ouvert donc nécessitera de faire plus attention.
• Vérifiez le raccourci. Un raccourci ne s’installe pas automatiquement, vous pouvez dans un premier temps vérifier les services auxquels fait appel le raccourci.
• Vous pouvez ensuite vérifier les actions du raccourci. Là, c’est en effet plus délicat car il faut comprendre les différentes actions. C’est pourtant une étape primordiale et indispensable pour la sécurité de l’exécution de votre raccourci. Et c’est également pourquoi je vous incite à créer vos propres raccourcis pour en comprendre le fonctionnement. Certains peuvent être sournois, je vous laisse voir cet exemple publié par iGeneration.
• Pour limiter les risques, n’importez que des raccourcis qui vont vous servir, c’est à dire qu’ils vont faire une tâche pour laquelle vous avez un besoin. Vous aurez ainsi une idée de ce qui est attendu. Évitez ces outils de pseudo _optimisation_ ou autres promesses fumeuses.
• Enfin, évitez au maximum, en tout cas pour l’instant, tout outil d’automatisation des raccourcis tel que Cronios. Oui il est tentant et il serait même très utile d’automatiser le déclenchement de raccourcis. Mais vu le mode de fonctionnement actuel, il serait aussi très facile d’abuser des utilisateurs. À nouveau, dans son fonctionnement normal, un raccourci n’est déclenché que par l’utilisateur. Vous pouvez donc récupérer un raccourci _malicieux_ pour le désactiver et l’étudier. Si il se déclenche automatiquement, c’est plus risqué.

Des risques existent avec Raccourcis. Mais ne vous privez pas d’un outil aussi efficace, suivez ces principes

Si vous avez aimé ce post, n’hésitez pas à laisser un commentaire ci-dessous ou sur la page Facebook 😉