iOS 16.1 corrige la faille SiriSpy : des apps avaient la possibilité d'enregistrer Siri sans autorisation

Mickaël Bazoge |

iOS 16.1 a corrigé une belle palanquée de failles de sécurité, mais il y en a une en particulier qui mérite un coup de projecteur. Guilherme Rambo, développeur de l'app AirBuddy, a découvert une vulnérabilité qu'il a baptisée SiriSpy. En résumé car c'est assez velu, n'importe quelle app ayant un accès au Bluetooth était en mesure d'enregistrer les conversations avec Siri, ainsi que l'audio provenant de la fonction de dictée vocale, en utilisant des AirPods ou des produits Beats.

Cet enregistrement se réalisait sans le consentement de l'utilisateur, puisqu'aucune demande d'autorisation d'accès au micro n'était nécessaire. De plus, il était impossible de savoir si une app avait bien enregistré une conversation ou la dictée vocale. Le bug a été signalé à Apple le 26 août et trois jours plus tard, le constructeur prenait contact avec Guilherme pour le suivi de l'histoire. Le correctif est disponible depuis le 24 octobre.

Pour l'anecdote, Apple va récompenser le développeur pour sa découverte, il recevra 7 000 $ au titre du programme bug bounty.

Tags
#iOS 16.1 #sécurité #Siri
avatar FabC1608 | 

7000€ seulement pour une faille aussi grosse et importante? Apple devrait avoir honte… la vente de bugs aux hackers ne va pas s’arrêter de sitôt…

avatar fousfous | 

@FabC1608

Apple a réagi rapidement, c'est déjà ça.

avatar FabC1608 | 

@fousfous

C’est vrai que c’était pas donné d’avance ^^

avatar R-APPLE-R | 

@fousfous

L’un n’empêche pas l’autre ! Des pingres Apple 👿
Après j’aime bien le nouveau système de mise à jour de sécurité indépendant sans devoir attendre une grosse mise à jour majeure, ça permet d’être plus réactif, enfin ! 😈

avatar xDave | 

@R-APPLE-R

Tout l’os ou une bonne partie devrait être ainsi.

avatar Lightman | 

@FabC1608

7000€ seulement

Le blog a été modifié depuis : c'est 29500 $ de récompense. C'est mieux.

avatar R-APPLE-R | 

@ MacG :
Vous oubliez de mentionner si je ne m’abuse ( moi même ) que cette faille existe aussi sur macOS et que contrairement à iOS c’est encore plus grave car l’application n’a même pas à demander l’autorisation du Bluetooth !

Pouvez-vous confirmer ? Bref mise à jour à faire de toute urgence 👿

avatar ssssteffff | 

@R-APPLE-R

Effectivement, et son article est passionnant !

avatar jpc93310 | 

Ce qu’ils feraient bien de corriger également c’est la « faille AirPlay »… Depuis IOS 16.1 le panneau de commande AirPlay sur mon iPhone / iPad ou Apple tv ne mentionne plus certains HomePods alors que ceux-ci ont reçus la dernière mise à jour ! Je ne sais pas si d’autres utilisateurs ont rencontré le même problème depuis lundi soir…

avatar R-APPLE-R | 

@jpc93310

Ce n’est pas une faille c’est un bug donc.

avatar jpc93310 | 

@R-APPLE-R

Oui. Dsl. Énorme !

avatar Ginger bread | 

Quelle générosité

avatar samgrosfite | 

Mais combien de failles existent comme celle ci non documentées qui peuvent servir des agences gouvernementale dans le plus grand secret….

avatar debione | 

@samgrosfite:

Plein... Et c'est chanceux si ce n'est que les gouvernement qui y ont accès...

avatar 406 | 

J ai croisé une voiture que je ne connaissais pas il y a qq jours. J en parle avec qq et le soir même, la pub de ce véhicule s affiche dans Facebook alors qu on n a fait aucune recherche…
Son Siri était activé sur son iPhone…

avatar ipaforalcus | 

@406

Parano ou naïveté il faut choisir ahah :)

avatar cosmoboy34 | 

@406

Plusieurs fois vécu ce genre de moment par facebook aussi…. Sans aucune recherche internet en rapport qui aurait pu être pistée. Et je suis pas le seul c’est arrivé à des amis aussi cet été plusieurs fois de parler d’une chose très précise et de la retrouver sur facebook. Je ne serais pas étonné que facebook ait utilisé cette faille

On s’en était étonné, ne comprenant pas comment facebook avait pu savoir ça hormis une écoute d’une manière ou d’une autre

avatar 0MiguelAnge0 | 

Ceux qui autorisent tous ces mouchards (Siri, Alexa et Cie) et bien tant pis pour eux…

Nous vivons dans un monde peuplés de naifs qui ouvrent en grand la porte de leurs vies privés a des technos futiles…

avatar r e m y | 

Concernant Siri, ce serait bien qu'ils arrivent enfin, après plus de 10 ans de développement, à lui faire prononcer correctement des mots comme "écran" qu'il s'évertue à prononcer "e accent aigû, cé ère a ène" 🤦‍♂️

avatar Kumbaya | 

Ah ça, pour nous écouter à notre insu, pas de souci, et il comprend bien en plus, comme par hasard.
J'en ai marre d'entendre: "Je suis désolé, je ne suis pas sûr de comprendre", ou encore: "une petite seconde...", puis plus rien, quand je lui demande "où suis-je" ou une phrase aussi basique.

avatar jujulec | 

c'est peut-être à la suite de cette correction que mes airpods ne répondent plus aux sollicitations...

CONNEXION UTILISATEUR