Une faille majeure de l’app Notes a été décelée sur iOS
Cette vulnérabilité existe aussi sous iOS 15, mais il existe un moyen simple de s’en prémunir.
Un chercheur en cybersécurité, Jose Rodriguez, vient de publier une vidéo complète qui dévoile une faille majeure d’iOS. On y découvre comment accéder au contenu de l’app native Notes sans même disposer des autorisations nécessaires, ce dont pourrait potentiellement profiter un pirate malintentionné. Apple n’a pas encore corrigé le souci : plutôt que de participer au bug bounty de la firme, l’analyste qui a découvert la brèche a en effet préféré la révéler au grand jour.
D’après lui, les récompenses offertes par Apple avec ce programme qui rémunère les développeurs l’aidant à mieux sécuriser sa plateforme seraient ainsi trop faibles. Rodriguez a pourtant déjà récolté pas moins de vingt-cinq mille dollars (un peu plus de vingt-et-un mille euros au taux de change actuel) en ayant signalé un autre bug de taille à Cupertino quelques semaines plus tôt.
Une manipulation relativement complexe
Plusieurs prérequis sont nécessaires pour qu’un hacker récupère vos Notes. Il faut tout d’abord que le raccourci vers l’app éponyme soit intégré au Centre de contrôle, ce qui n’est pas le cas lorsqu’on achète un iPhone neuf : il s’agit d’un choix personnel. Ensuite, l’opération à réaliser demande d’activer VoiceOver puis de toucher l’écran tactile plusieurs fois, notamment depuis des raccourcis du Centre de contrôle tels que celui qui redirige vers le minuteur.
La procédure est à découvrir dans la vidéo ci-dessous (en espagnol) :
Bientôt un correctif ?
Pour le moment, Apple n’a pas officiellement réagi à cet incident. On sait toutefois que la confidentialité est un engagement fort de sa part, comme l’a par exemple réitéré Tim Cook le week-end dernier dans un interview au Time magazine. Il n’est d’ailleurs pas rare de voir sa société déployer des correctifs très rapidement lorsque des problèmes techniques mettent en péril les données personnelles des utilisateurs, ce qui ne fait pas bonne presse.
Ici, ce sont les iPhone tournant sous iOS 15 et iOS 14.8 qui sont concernés. Cette dernière version avait pourtant été déployée pour mettre fin à une autre erreur aux conséquences internationales, qui avait permis au logiciel espion Pegasus de s’immiscer dans de nombreux mobiles à travers la planète. Sans le consentement de leur propriétaire.
Fred
22 septembre 2021 à 10 h 08 min
Donc concrètement il faut que le hacker vous ait d’abord volé le tel, puis qu’il vous le rende puis qu’il le revole pour accéder à vos notes …
simipi
6 août 2022 à 11 h 41 min
rien compris a la manip’. J’espérai récuperer mes notes verrouillées dont j’ai oublié le mot de passe ! mettre une vidéo en espagnol, c’est vraiment en fait ne pas faire grand chose dans cet article !