Apple corrige la faille avec Siri, Twitter et 3D Touch
Apple a corrigé la dernière petite faille de sécurité dans iOS 9.3.1 qui donnait accès au carnet d’adresses ou à la galerie photos d’un iPhone verrouillé. La modification a été réalisée côté serveur, il n’y a donc aucune mise à jour à télécharger.
La manipulation avait été décrite hier, elle consistait à utiliser adroitement Siri, Twitter et 3D Touch.
On commençait par lancer une recherche générale sur un tweet pouvant contenir une adresse email quelconque. On disait par exemple « gmail.com » ou « yahoo.com », ou n’importe autre quel domaine de courriel. Un tweet trouvé, on appuyait fort sur l’adresse e-mail en question pour afficher le menu contextuel 3D Touch.
En tapotant ensuite sur Ajouter à un contact existant, on obtenait la liste des contacts de l’iPhone ; en tapotant sur Nouveau contact puis en demandant à Ajouter une photo, on accédait à la galerie photos de l’appareil.
Apple a ajouté une étape via cette mise à jour sur les serveurs de Siri. Lorsqu’on demande à lancer une recherche sur Twitter, il faut maintenant s’identifier, en tapant son code de déverrouillage ou en utilisant Touch ID, pour continuer l'opération en mode iPhone déverrouillé.
De la réactivité ? Non!!!
Ca veut dire qu'on peut déverrouiller un iPhone à distance depuis un serveur Apple, ça devrait intéresser le FBI.
@frankm :
? Comment en arrive-tu à cette conclusion ?
C'est bien simple pourtant. Puisqu'une modification serveur permet de combler la faille, il suffit de remettre la version précédente du serveur pour rouvrir la faille...
@frankm :
a moins d'un bug, non. Côté serveur ils peuvent juste faire que siri demande ou pas le code pour tel ou tel fonction, mais ils ne connaissent pas notre code...
@empereur_kuzco :
C'est une première
J'avoue ils sont rapide. Et ça c'est cool quand même pour notre sécurité numérique !
Avec l'histoire Apple vs FBI et le faite qu'ils auraient réussi à déverrouiller ledit terminal ils doivent être sur la brèche (si on peut dire) côté sécurité ! Ça doit les agacer de ne pas savoir et ils doivent être en ébullition dans l'équipe sécurité de iOS
Si c'est fait côté serveur rien n'empêche Apple d'intégrer des mots "magiques" pour laisser passer des choses... "Dis Siri kamoulox" et hop on a accès à des tas de trucs.
la fonction dis siri perd un peu de son utilité si il faut prendre le tel en main pour le déverrouiller.
@docdav :
Pas du tout car tu peux toujours envoyer des messages, passer des appels, enclencher le minuteur ainsi que toutes les actions qui peuvent être fait à distance (consultation de la météo, valeurs boursières et j'en passe), ne nécessitant pas de regarder l'iPhone.
Pour tous ce qui est de la recherche d'Internet et toutes les choses où tu dois regarder l'écran, le fait de mettre le code (Touch ID) n'y change rien étant donné que tu as besoin de voir l'iPhone.
@Samesoule0 :
faites