Apple continue de déployer ses mises à jour iOS tandis que le chercheur espagnol José Rodríguez, de son côté, continue de trouver de nouveaux moyens de contourner la sécurité de chacune des versions.
Cette semaine, la cible était la version iOS 12.1, qui est sortie mardi. Mercredi, Rodríguez avait publié une vidéo YouTube montrant comment déjouer un écran de verrouillage iPhone avec l’aide de Siri et de Facetime, afin de révéler les numéros de téléphone et les emails de l’appareil.
L’attaquant devait alors :
- Prendre un appel.
- Lancer FaceTime à partir de l’écran du menu d’appel.
- Balayez l’écran d’un geste vers le haut et activez le mode avion.
- Appuyez immédiatement sur l’icône (…). Pour iOS 12.1.1, glissez vers le haut au niveau du panneau en partant du bas.
- Appuyez sur “Ajouter une personne”.
- Tapez sur l’icône (+).
Et hop le tour est joué ! Ils peuvent ainsi faire défiler tous les contacts !
De plus, pour prendre une longueur d’avance sur l’équipe sécurité d’Apple, cette méthode fonctionnerait même sur la version bêta du prochain iOS 12.1.1 !
Les contournements des écrans de verrouillage découverts par Rodríguez sont devenus de plus en plus problématiques ces derniers temps.
Le dernier en date a été découvert il y a à peine deux semaines : un écran de verrouillage iPhone dans iOS 12.0.1 aurait permis à un attaquant d’avoir accès aux photos d’un appareil.
Ironiquement, cette mise à jour incluait des correctifs pour deux contournements antérieurs d’un écran de verrouillage iPhone que Rodríguez avait publiés en septembre et qui compromettaient les contacts, les emails, les numéros de téléphone et les photos.
Avant cela, le même chercheur avait découvert toute une série de problèmes de contournement d’écran de verrouillage remontant à 2013.
En attendant qu’Apple publie un correctif, vous pouvez minimiser ce problème en désactivant l’accès à VoiceOver par Siri depuis l’écran de verrouillage : allez dans Réglages → Siri & recherche et désactivez l’option “Siri avec écran verrouillé” dans la section “Demander à Siri“.
Une question plus importante encore est de savoir pourquoi Siri et l’écran de verrouillage ne parviennent toujours pas à cohabiter dans la joie.
Il se pourrait simplement qu’il existe une incompatibilité fondamentale dans leur objectif de base : à savoir un accès verrouillé par rapport à un accès vocal facilité pour certaines fonctions, ce qui est intrinsèquement difficile à concilier sans compromis, il faut quand même l’admettre !
Billet inspiré de Another day, another update, another iPhone lockscreen bypass, sur Sophos nakedsecurity.