Le nouveau bug iPhone donne à tout le monde accès à vos photos privées

Un passionné de sécurité qui a découvert un vulnérabilité de contournement du code d’accèsdans iOS 12 d’Apple.

Le mois dernier, un autre bogue de contournement du code d’accès qui fonctionne sur le dernier iOS 12.0.1 publié la semaine dernière a été supprimé.

Jose Rodriguez, chercheur en sécurité amateur espagnol, a découvert fin septembre un bogue dans iOS 12 qui permettait aux attaquants ayant un accès physique à votre iPhone d’accéder à vos contacts et à vos photos.

Le bogue a été corrigé dans iOS 12.0.1, mais il a maintenant découvert un piratage de contournement du code iPhone similaire, qui fonctionne dans 12.0.1 et est plus facile à exécuter que le bogue découvert et signalé par Rodriguez il y a deux semaines.

Le nouveau hack permet à toute personne ayant un accès physique à votre iPhone verrouillé d’accéder à votre album photo, de sélectionner des photos et de les envoyer à toute personne utilisant les messages Apple.

Comme le nouveau hack nécessite beaucoup moins d’efforts que le précédent, il rend tout utilisateur d’iPhone vulnérable face à un partenaire sceptique ou méfiant, à un collège curieux, à un ami ou à un colocataire qui pourrait accéder à l’album photo de votre iPhone et récupérer vos photos privées.

Voici comment contourner l’écran de verrouillage de l’iPhone pour accéder aux photos

Comme le montre la démonstration vidéo, le nouveau piratage tire également parti des lecteurs d’écran Siri et VoiceOver pour traverser les défenses de votre téléphone, tout comme les autres piratages de contournement similaires.

Le nouveau contournement de code nécessite environ 10 étapes pour être exécuté, comme suit :

  • Appelez l’iPhone cible depuis n’importe quel autre téléphone (si vous ne connaissez pas le numéro de téléphone de la cible, vous pouvez demander à Siri "qui je suis" ou demander à Siri d’appeler votre numéro de téléphone, chiffre par chiffre).
  • Ne répondez pas à l’appel en le prenant au lieu d’appuyer sur "Messages" (par défaut dans iOS) et d’appuyer sur "Personnalisé" pour répondre par message texte.
  • Tapez n’importe quel mot dans la zone de message texte.
  • Demandez à Siri d’activer VoiceOver, un service destiné aux utilisateurs malvoyants.
  • Appuyez sur l’icône de l’appareil photo.
  • Appelez Siri avec le bouton d’accueil de l’iPhone et simultanément appuyez deux fois sur l’écran du téléphone (cela ne fonctionne pas, puis répétez l’opération plusieurs fois).
  • Lorsque l’écran devient noir, passez votre doigt sur l’écran dans le coin supérieur gauche, où VoiceOver lira à voix haute ce que vous avez sélectionné. Continuez à balayer jusqu’à ce que VoiceOver indique "Photothèque".
  • Appuyez deux fois sur l’écran pour sélectionner Photothèque. Cela vous ramènera à l’écran de message, mais vous verrez un espace vide à la place du clavier. C’est en fait une photothèque invisible.
  • Passez maintenant votre doigt sur VoiceOver pour lire les caractéristiques de chaque photo.
  • Appuyez deux fois sur une photo pour l’afficher tout en ajoutant l’image à la zone de texte, que vous pourrez ensuite envoyer à n’importe quel numéro.

La nouvelle méthode de contournement par mot de passe fonctionne sur tous les modèles d’iPhone actuels, y compris les appareils iPhone X et XS, exécutant la dernière version du système d’exploitation mobile Apple, à savoir iOS 12 à 12.0.1.

Jusqu’à ce que Apple propose un correctif de sécurité, vous pouvez résoudre temporairement le problème en désactivant Siri à partir du lockscreen. Voici comment désactiver Siri :

Accédez à Paramètres → Identifiant de visage et mot de passe (Touch ID & Passcode sur les iPhones avec Touch ID) et désactivez la case à cocher Désactiver Siri sous "Autoriser l’accès en cas de verrouillage".

Bien sûr, la désactivation de Siri paralyserait votre expérience iOS 12, mais empêcherait les attaquants d’abuser de cette fonctionnalité et d’empiéter sur votre iPhone.

En attendant, attendez qu’Apple publie une mise à jour logicielle pour résoudre le plus rapidement possible le nouveau bogue de contournement du code d’accès de l’iPhone.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image