iOS 16.1 corrige la faille SiriSpy : des apps avaient la possibilité d'enregistrer Siri sans autorisation
iOS 16.1 a corrigé une belle palanquée de failles de sécurité, mais il y en a une en particulier qui mérite un coup de projecteur. Guilherme Rambo, développeur de l'app AirBuddy, a découvert une vulnérabilité qu'il a baptisée SiriSpy. En résumé car c'est assez velu, n'importe quelle app ayant un accès au Bluetooth était en mesure d'enregistrer les conversations avec Siri, ainsi que l'audio provenant de la fonction de dictée vocale, en utilisant des AirPods ou des produits Beats.
Cet enregistrement se réalisait sans le consentement de l'utilisateur, puisqu'aucune demande d'autorisation d'accès au micro n'était nécessaire. De plus, il était impossible de savoir si une app avait bien enregistré une conversation ou la dictée vocale. Le bug a été signalé à Apple le 26 août et trois jours plus tard, le constructeur prenait contact avec Guilherme pour le suivi de l'histoire. Le correctif est disponible depuis le 24 octobre.
Pour l'anecdote, Apple va récompenser le développeur pour sa découverte, il recevra 7 000 $ au titre du programme bug bounty.
7000€ seulement pour une faille aussi grosse et importante? Apple devrait avoir honte… la vente de bugs aux hackers ne va pas s’arrêter de sitôt…
@FabC1608
Apple a réagi rapidement, c'est déjà ça.
@fousfous
C’est vrai que c’était pas donné d’avance ^^
@fousfous
L’un n’empêche pas l’autre ! Des pingres Apple 👿
Après j’aime bien le nouveau système de mise à jour de sécurité indépendant sans devoir attendre une grosse mise à jour majeure, ça permet d’être plus réactif, enfin ! 😈
@R-APPLE-R
Tout l’os ou une bonne partie devrait être ainsi.
@FabC1608
7000€ seulement
Le blog a été modifié depuis : c'est 29500 $ de récompense. C'est mieux.
@ MacG :
Vous oubliez de mentionner si je ne m’abuse ( moi même ) que cette faille existe aussi sur macOS et que contrairement à iOS c’est encore plus grave car l’application n’a même pas à demander l’autorisation du Bluetooth !
Pouvez-vous confirmer ? Bref mise à jour à faire de toute urgence 👿
@R-APPLE-R
Effectivement, et son article est passionnant !
Ce qu’ils feraient bien de corriger également c’est la « faille AirPlay »… Depuis IOS 16.1 le panneau de commande AirPlay sur mon iPhone / iPad ou Apple tv ne mentionne plus certains HomePods alors que ceux-ci ont reçus la dernière mise à jour ! Je ne sais pas si d’autres utilisateurs ont rencontré le même problème depuis lundi soir…
@jpc93310
Ce n’est pas une faille c’est un bug donc.
@R-APPLE-R
Oui. Dsl. Énorme !
Quelle générosité
Mais combien de failles existent comme celle ci non documentées qui peuvent servir des agences gouvernementale dans le plus grand secret….
@samgrosfite:
Plein... Et c'est chanceux si ce n'est que les gouvernement qui y ont accès...
J ai croisé une voiture que je ne connaissais pas il y a qq jours. J en parle avec qq et le soir même, la pub de ce véhicule s affiche dans Facebook alors qu on n a fait aucune recherche…
Son Siri était activé sur son iPhone…
@406
Parano ou naïveté il faut choisir ahah :)
@406
Plusieurs fois vécu ce genre de moment par facebook aussi…. Sans aucune recherche internet en rapport qui aurait pu être pistée. Et je suis pas le seul c’est arrivé à des amis aussi cet été plusieurs fois de parler d’une chose très précise et de la retrouver sur facebook. Je ne serais pas étonné que facebook ait utilisé cette faille
On s’en était étonné, ne comprenant pas comment facebook avait pu savoir ça hormis une écoute d’une manière ou d’une autre
Ceux qui autorisent tous ces mouchards (Siri, Alexa et Cie) et bien tant pis pour eux…
Nous vivons dans un monde peuplés de naifs qui ouvrent en grand la porte de leurs vies privés a des technos futiles…
Concernant Siri, ce serait bien qu'ils arrivent enfin, après plus de 10 ans de développement, à lui faire prononcer correctement des mots comme "écran" qu'il s'évertue à prononcer "e accent aigû, cé ère a ène" 🤦♂️
Ah ça, pour nous écouter à notre insu, pas de souci, et il comprend bien en plus, comme par hasard.
J'en ai marre d'entendre: "Je suis désolé, je ne suis pas sûr de comprendre", ou encore: "une petite seconde...", puis plus rien, quand je lui demande "où suis-je" ou une phrase aussi basique.
c'est peut-être à la suite de cette correction que mes airpods ne répondent plus aux sollicitations...