Failles dans iOS 7 : contacts et pièces-jointes accessibles sans code

01 juin 2018 à 15h36
0
iOS est à nouveau victime d'une faille permettant d'accéder à des données personnelles via Siri. On a également récemment découvert que les pièces-jointes des emails n'étaient pas chiffrées, contrairement à ce qui était prévu.

0000019006654932-photo-iphone-5s-sur-cran-de-verrouillage.jpg

Accéder au carnet d'adresses d'un iPhone verrouillé

L'assistant vocal Siri est encore une fois plus permissif qu'il ne devrait l'être. Un développeur indépendant a effectivement révélé lundi une nouvelle méthode permettant de passer outre le verrouillage d'un terminal exécutant iOS 7.1.1. Cette fois on peut accéder au carnet d'adresses d'un iPhone puis lancer un appel vers un des correspondants, et découvrir son numéro au passage.

Lorsque l'iPhone est verrouillé et qu'on demande à accéder aux contacts via Siri, il réclame légitimement un déverrouillage. Mais si on demande à lancer un appel, sans plus de précision, on peut compléter la requête d'un prénom. Siri renvoie alors une liste de contacts qui correspondent, mais il permet aussi de choisir n'importe quel autre, en affichant pour cela le carnet d'adresses à l'écran.

La méthode fonctionne plus ou moins, y compris sur iPad et iPod Touch, avec d'autres requêtes partielles, comme l'envoi de message ou d'email. Mais dans ces cas les coordonnées personnelles du contact ne sont pas révélées.

La vidéo ci-dessous illustre la marche à suivre. Siri étant régulièrement le maillon faible d'iOS, pour renforcer la sécurité de son terminal on peut le désactiver en mode verrouillé (dans Réglages > code).

00F0000007345826-photo-d-sactiver-siri-en-mode-verrouill-sur-ios-7.jpg


Les pièces-jointes supposées chiffrées ne le sont pas

Dans un autre registre, un expert en sécurité a découvert le mois dernier une autre faille, et l'a rendue publique. Celle-ci permet d'accéder aux pièces-jointes des emails d'un terminal exécutant iOS 7, alors qu'elles devraient être chiffrées.

00F0000007345828-photo-donn-es-chiffr-es-sur-ios-7.jpg

Un individu peut récupérer un terminal iOS verrouillé, accéder à sa mémoire interne via plusieurs méthodes existantes, puis accéder aux pièces-jointes, qui sont stockées en clair. Tous les comptes sont affectés, qu'ils utilisent POP, IMAP ou Exchange, et vraisemblablement toutes les versions d'iOS 7.

Contacté par l'expert, Apple aurait répondu qu'il avait connaissance de ce problème, mais il n'a pas indiqué quand il serait résolu. La faille existe au moins depuis iOS 7.0.4, c'est-à-dire depuis plus de cinq mois et demi.

Articles relatifs
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

HP investit 1 milliard de dollars dans OpenStack
AMD Catalyst 14.4 : un petit tour, s'en va et revient
Huawei Ascend P7 : photo et
Wiko Wax : le 1er téléphone Tegra 4i d'Europe est disponible (màj)
Lunettes connectées : Epson propose ses Moverio BT-200 pour 700 dollars
Heartbleed : NVIDIA met à jour GeForce Experience
Worldline, la filiale de paiement d'Atos, bientôt en bourse
Apple dépose un brevet pour reconnaître lorsqu’un bouton est touché accidentellement
Samsung déploie l'outil Knox en version 2.0
Proche de Wall Street, Alibaba devra réussir à l'international
Haut de page