Le jour même de la sortie d’iOS 15, Jose Rodriguez, un chercheur en cybersécurité, a publié une faille présente dans le nouveau système d’exploitation pour iPhone. Dans une vidéo, il montre comment accéder au contenu de l’application « Notes » directement depuis l’écran de verrouillage sur iOS 14.8 et iOS 15.
La faille utilise l’assistant Siri pour activer le logiciel de lecture d’écran VoiceOver. Ensuite, en effectuant quelques manipulations dans le chronomètre, il parvient à accéder au contenu des notes enregistrées sur l’iPhone. De là, il montre comment copier le texte et le transférer à un autre smartphone. En refusant un appel entrant, il peut alors envoyer un message et coller le contenu de la note, toujours sans déverrouiller l’iPhone.
Il va encore plus loin, puisqu’il montre une technique pour connaître le numéro de téléphone de l’appareil. En créant un lien dans une note, il parvient à lancer un appel, encore une fois sans déverrouiller l’iPhone. Cette faille est relativement mineure, puisqu’il faut que Siri et le centre de contrôle soient activés sur l’écran de verrouillage et elle nécessite un accès physique à l’iPhone. Toutefois, Jose Rodriguez a choisi de publier cette faille pour dénoncer les incohérences du programme Bug Bounty d’Apple, qui rémunère toute personne qui découvre une faille.
Le spécialiste affirme avoir déjà reçu 25.000 dollars pour ce genre de faille, mais seulement 5.000 dollars pour une faille plus grave. De plus, la firme peut mettre plusieurs mois à donner suite à un signalement. Le chercheur avait déjà notifié Apple de deux failles importantes qui permettaient de contourner l’écran de verrouillage, CVE-2021-1835 et CVE-2021-30699, pour lesquelles Apple a publié une mise à jour en avril et mai. Toutefois, il indique que la solution n’a fait que limiter le problème, sans le corriger, ce qui lui a permis de trouver cette nouvelle faille.
avec Futura