Une vidéo mise en ligne le jour du lancement d’iOS 15 montre comment accéder au contenu des notes sur un iPhone sans le déverrouiller. Cette publication a pour but de dénoncer les pratiques d’Apple lorsque les chercheurs signalent des failles.
au sommaire
Le jour même de la sortie d'iOSiOS 15, Jose Rodriguez, un chercheur en cybersécurité, a publié une faille présente dans le nouveau système d'exploitation pour iPhone. Dans une vidéo, il montre comment accéder au contenu de l'applicationapplication « Notes » directement depuis l'écran de verrouillage sur iOS 14.8 et iOS 15.
La faille utilise l'assistant SiriSiri pour activer le logiciel de lecture d'écran VoiceOver. Ensuite, en effectuant quelques manipulations dans le chronomètre, il parvient à accéder au contenu des notes enregistrées sur l’iPhone. De là, il montre comment copier le texte et le transférer à un autre smartphone. En refusant un appel entrant, il peut alors envoyer un message et coller le contenu de la note, toujours sans déverrouiller l'iPhone.
Des dysfonctionnements dans le programme « Bug Bounty » d’Apple
Il va encore plus loin, puisqu'il montre une technique pour connaître le numéro de téléphone de l'appareil. En créant un lien dans une note, il parvient à lancer un appel, encore une fois sans déverrouiller l’iPhone. Cette faille est relativement mineure, puisqu'il faut que Siri et le centre de contrôle soient activés sur l'écran de verrouillage et elle nécessite un accès physiquephysique à l’iPhone. Toutefois, Jose Rodriguez a choisi de publier cette faille pour dénoncer les incohérences du programme BugBug Bounty d'AppleApple, qui rémunère toute personne qui découvre une faille.
Le spécialiste affirme avoir déjà reçu 25.000 dollars pour ce genre de faille, mais seulement 5.000 dollars pour une faille plus grave. De plus, la firme peut mettre plusieurs mois à donner suite à un signalement. Le chercheur avait déjà notifié Apple de deux failles importantes qui permettaient de contourner l'écran de verrouillage, CVE-2021-1835 et CVE-2021-30699, pour lesquelles Apple a publié une mise à jour en avril et mai. Toutefois, il indique que la solution n'a fait que limiter le problème, sans le corriger, ce qui lui a permis de trouver cette nouvelle faille.
La vidéo de la démonstration de la faille qui permet de contourner l’écran de verrouillage d’iOS 15. © Jose Rodriguez