Des preuves de la vulnérabilité trouvée dans iOS 15 ont été publiées sur YouTube sous la forme d’une vidéo, c’est pourquoi il est facile d’imaginer qu’un remède est sur nous. Le bug profite de Siri et de la fonction Voiceover pour tromper le système d’exploitation et ouvrir l’accès aux notes du téléphone.
L’installation d’iOS 15 apporte de nombreuses nouvelles fonctionnalités aux iPhones, mais comme toutes les nouvelles mises à jour logicielles, elle contient quelques imperfections. Le plus bizarre a été détecté par le développeur et expert en sécurité informatique Jose Rodriguez et en réalité il n’est pas anodin : il s’agit d’une faille qui permet à toute personne malveillante de passer outre l’écran de verrouillage du téléphone pour accéder notamment au contenu de l’application Notes, et donc des informations potentiellement personnelles telles que les noms, prénoms, adresses et mots de passe.
Rodriguez a publié les détails du bug sur YouTube, où il montre la procédure qui peut conduire au déverrouillage d’un iPhone sans avoir besoin de mot de passe. Dans le clip, le processus n’est pas décrit dans ses moindres détails et ne peut être reproduit que si vous savez précisément ce que le chercheur fait à l’écran ; des images, cependant, il est clair l’utilisation d’une technique connue et déjà exploitée dans le passé pour des opérations similaires : l’utilisation de Siri et le mode Voiceover qui lit à haute voix pour les malvoyants tous les éléments à l’écran. Ces deux sous-systèmes modifient le comportement du téléphone pour le rendre plus confortable ou accessible, mais en même temps – la vidéo de Rodriguez et les attaques subies ces dernières années le démontrent – le rendent plus vulnérable.
Le chercheur avait déjà trouvé le bug dans les versions précédentes d’iOS, et à l’époque, il pouvait même être utilisé pour accéder aux applications de messagerie. Après avoir été prévenu, Apple a partiellement résolu le problème, mais n’a pas empêché la possibilité d’accéder à une application qui n’est pas exactement secondaire comme les notes du téléphone. Rodriguez a alors choisi de publier le clip pour faire connaître le groupe et en même temps pour critiquer la politique relative aux récompenses réservées aux chercheurs qui découvrent de nouvelles failles de sécurité dans le logiciel de la maison Cupertino.
TikTok veut introduire des histoires qui disparaissent après 24 heures
À ce stade, il est facile d’imaginer qu’un remède est en route. En attendant, toute attaque reste improbable ; pour ceux qui veulent être particulièrement prudents, il vaut mieux éviter de laisser le téléphone sans surveillance trop longtemps jusqu’à l’arrivée d’une nouvelle mise à jour qui corrige le problème.
Attendez de mettre à jour l'iPhone vers iOS 15 : un bug permet de lire les notes depuis l'écran de - Netcost-security.fr
Read More
No comments:
Post a Comment