iOS 13 : une bidouille pour accéder aux contacts sans déverrouillage

Stéphane Moussie |

Mais où va-t-il trouver tout ça ? Le chercheur Jose Rodriguez a trouvé un nouveau moyen d'accéder à des données personnelles depuis l'écran de verrouillage d'iOS sans le code d'accès — cela implique donc que le malandrin doit avoir l'iPhone en sa possession.

Comme pour les précédentes trouvailles du genre, la méthode est alambiquée : il faut recevoir un appel, ouvrir la fenêtre Messages et activer VoiceOver grâce à Siri. Après quelques taps supplémentaires, on a accès au carnet d'adresses normalement inaccessible sans le code de déverrouillage.

Cette bidouille fonctionne sur la Golden Master d'iOS 13 qui sera la version finale distribuée la semaine prochaine, sauf surprise. iOS 13.1, qui sortira le 30 septembre, corrigera ce bug, d'après Jose Rodriguez.

Source
avatar Dark Phantom | 

Je ne suis pas codeur système sur iOS mais si quelqu’un peut m’expliquer comment cette faille qui n’existe pas sur iOS 12 peut se retrouver sur iOS 13.

avatar yannickdu69 | 

@Dark Phantom

A croire qu'à chaque nouveau IOS ils reprennent le développement à zéro..

avatar victoireviclaux | 

@Dark Phantom

Je pense qu'ils reprennent le système à zéro, en s'inspirant de certaines parties du système d'avant iOS 13 bien sûr.
Les systèmes sont devenues tellement complexes aujourd'hui qu'un déploiement d'une version majeure tous les ans ne s'explique plus aujourd'hui... à mon avis.

avatar MarcMame | 

@Dark Phantom

"Je ne suis pas codeur système sur iOS mais si quelqu’un peut m’expliquer comment cette faille qui n’existe pas sur iOS 12 peut se retrouver sur iOS 13."

Pourquoi un château de 12 cartes s’écroule à l’ajout d’une 13eme ?

avatar Khrys | 

@MarcMame

"Pourquoi un château de 12 cartes s’écroule à l’ajout d’une 13eme ?"

En développement, c'est ce que l'on appelle une "régression".

avatar The Joker WSS | 

Mon Siri n’est pas activable avec le bouton latéral, il doit imiter un peu ma voix mais ce n’est pas compliquée non plus

avatar marenostrum | 

ils trouvent les portes ouvertes que le système offre au cas où (force de l'ordre, etc). ça devient chiant pour Apple de trouver toujours une autre porte discrète. ils le laisseront jamais tranquille ces gens, les experts en tout genre qui comprennent pas comment le monde marche.

avatar YAZombie | 

Je vois que tu as déjà retrouvé ta vraie nature. J'étais presque inquiet pour toi la dernière fois.
Mais quand même, là, même pour toi, c'est un peu gros non? Même pour toi! 😱️

avatar Bigdidou | 

@YAZombie

“Mais quand même, là, même pour toi, c'est un peu gros non? Même pour toi! 😱️”

Au fond de toi, tu sais bien qu’il y croit.
Après tout, même si on a une vision délirante du monde, tant qu’on y survit...

avatar YAZombie | 

@ Bigdidou: je dois quand même dire que j'ai du mal à croire qu'il y croie vraiment…
Il fait ce qu'il veut avec sa vision délirante tant qu'elle lui assure sa "survie", mais dans la mesure où à mon sens tous ces discours, constants, aussi conspirationnistes qu'ils sont stupides sont des coups portés à la démocratie, il faut tout de même les pointer du doigt. D'autant qu'une étude récente a démontré de façon concluante que l'absence de contradiction leur permet de prendre un poids injustifié.
Donc continuons, mon cher bigdidou 😉️

avatar lioneli | 

@marenostrum
sans être trop paranoïaque, je pense effectivement que cette explication est plausible... « it’s not a bug it’s a feature »

avatar brunnno | 

Déjà l’accès à l’appareil photo d’un iPhone verrouillé sans aucun bidouillage moi ça me gêne... 😤
Tu peux ainsi saturer la mémoire d’un iPhone à ta portée et y laisser toutes les photos que tu veux. 🤣

avatar macinoe | 

Oui.
C’est une infraction grave à un des principes de base des systèmes d’exploitation convenablement sécurisé.

« Celui qui n’est pas connecté ne peut rien faire d’autre que de se connecter. »

Avec cette simple précaution, on aurait pas ces failles aberrantes.

avatar rua negundo | 

@brunnno

On pourrait imaginer une solution intermédiaire : l’appareil photo reste accessible seulement x minutes (par exemple 10) après que l’iPhone soit verrouillé. Ainsi, il y aurait la souplesse de ne pas déverrouiller juste pour une photo vite fait peu de temps après avoir déverrouillé l’iPhone tout en limitant fortement le risque que tu évoques

avatar xDave | 

@brunnno

ça pourrait être une option, préférence à régler ou un geste programmable.
L'intérêt de ce "défaut" d'accès est de rendre l'appareil photo disponible immédiatement pour pouvoir capturer l'instant.

avatar brunnno | 

@xDave

Au vu des soucis que j’ai évoqués plus haut, et vu le temps de réaction du déverrouillage je ne vois plus l’interêt de cette possibilité

avatar macinoe | 

Alambiqué ou pas, ça prouve une nouvelle fois un problème majeur de conception dans les bases d’iOS.

avatar Clément34000 | 

@macinoe

Oui, par chance, ça sera vite du passé. Puis encore une fois, si le téléphone a été volé, il est censé être verrouillé et bloqué par son possesseur. Tout le monde va me gueuler dessus (surtout le quatuor lol), mais je considère qu’un téléphone volé est censé être bloqué, sinon, c’est tenté le diable, il faut pas trop se plaindre si le voleur fini par trouver un moyen... forcément, avec le temps, il y a toujours un moyen
En plus, quand je pense qu’il y a encore des gens (je n’ai plus le chiffre en tête) qui ne verrouillent pas leur téléphone... surtout quand il vaut une fortune

avatar Bigdidou | 

@macinoe

“Alambiqué ou pas, ça prouve une nouvelle fois un problème majeur de conception dans les bases d’iOS.”

Pourquoi les bases ?
En général tous ces bugs restent lié à l’activation de Siri le téléphone étant verrouillé.
On est loin “des bases”.

avatar IOS14 | 

C'est simplement une porte ouverte pour les forces de l'ordre heureusement que certains font tout pour les refermer.

avatar Bigdidou | 

@IOS14

“C'est simplement une porte ouverte pour les forces de l'ordre”

Évidemment pas.
Si une backdoor était installée, elle ne serait pas construite de façon aussi absurde, limitée au carnet d’adresse et d’accès aussi aléatoire, de toute façon.

avatar mapiolca | 

@Bigdidou

J’ai lu quelque part que la mémoire de l’eau peut augmenter le stockage de l’iPhone, et que un champs énergétique de seulemen 1000 bovis peut recharger un iPhone plus vite que n’importe quel chargeur QI... mais le gouvernement illuminato-reptilien nous le cache !

avatar dodomu | 

@mapiolca

Les vaccins sont plats et la Terre donne l'autisme, mais nous sachons !

avatar mapiolca | 

@dodomu

😻

avatar Clément34000 | 

Par chance, ça sera vite du passé. Puis encore une fois, si le téléphone a été volé, il est censé être verrouillé et bloqué par son possesseur. Tout le monde va me gueuler dessus (surtout le quatuor lol), mais je considère qu’un téléphone volé est censé être bloqué, sinon, c’est tenté le diable, il faut pas trop se plaindre si le voleur fini par trouver un moyen... forcément, avec le temps, il y a toujours un moyen
En plus, quand je pense qu’il y a encore des gens (je n’ai plus le chiffre en tête) qui ne verrouillent pas leur téléphone... surtout quand il vaut une fortune

avatar SyMich | 

Je ne comprends pas votre commentaire...
Le téléphone dont on parle ici, est bien verrouillé, et on accède au carnet d'adresses sans avoir besoin du code de déverrouillage.

Faire un article sur l'accès au carnet d adresses d'un iPhone déverrouillé n'aurait aucun sens!

avatar Clément34000 | 

@SyMich

Je peux répondre plusieurs explications, comme le fait que répondre par un message peut-être désactivé ou bloqué ou le fait qu’un voleur qui veut faire cette manipulation n’est pas censé pouvoir la faire puisque le téléphone volé est censé être bloqué... enfin, c’est une faille qui, en plus d’être déjà résolu avec la mise à jour prévue le 30, ne dérangera personne, on a de la chance.

avatar SyMich | 

Ah ok. Je n'avais pas compris que vous parliez du blocage à distance.

avatar Clément34000 | 

@SyMich

Yes

avatar mapiolca | 

@SyMich

Verrouillé mais pas déclarer perdu dans iCloud

avatar marenostrum | 

je viens de voir une pub sur Instagram pour le unlock d'un iPhone récent par son numéro Imei.

avatar Clément34000 | 

@marenostrum

Une belle jambe lol

CONNEXION UTILISATEUR