Un développeur a posté une vidéo sur YouTube d'un bug de sécurité présent dans iOS 13 qui, cependant, ne sera corrigé qu'à la fin du mois. Des contacts à risque
Nous ne sommes qu'à trois jours du lancement officiel du nouveau système d'exploitation mobile d'Apple, prévu pour le 19 septembre, mais iOS 13 semble déjà présenter de sérieux problèmes de sécurité. Apple est au courant depuis juillet, mais a préféré reporter la correction du problème à la prochaine version, la 13.1.
Le Youtuber Jose Rodriguez (qui poste sur la chaîne 'videosdebarraquito') a découvert qu'il est possible d'accéder à un iPhone fonctionnant sous iOS 13 sans entrer de code de sécurité, en utilisant FaceTime et en exploitant un bug dans Siri. En quelques étapes seulement, comme l'a montré Rodriguez, il est possible d'accéder aux contacts du smartphone même lorsqu'il est verrouillé. Rodriguez affirme avoir averti Apple de cette vulnérabilité dès juillet, mais la faille sera toujours présente dans la première version d'iOS 13, et ne sera corrigée que dans iOS 13.1, dont la sortie est prévue le 30 septembre.
Comment fonctionne le bug d'iOS 13
Pour accéder à tous les contacts d'un iPhone sans le déverrouiller, en utilisant la vulnérabilité d'iOS 13 découverte par Jose Rodriguez, il faut tenir physiquement le smartphone en question. Vous devez ensuite lancer un appel FaceTime vers le numéro de téléphone de ce smartphone. À ce stade, même si le téléphone est verrouillé, nous pouvons activer puis désactiver VoiceOver, l'utilitaire de lecture d'écran pour les malvoyants, qui fonctionne grâce à l'assistant numérique Siri. Désormais, on peut accéder librement aux contacts de l'iPhone, les lire et même les modifier.
Apple le sait
Bien que cette vulnérabilité nécessite la possession physique du smartphone pour être exploitée, il s'agit clairement d'un bug de sécurité assez sérieux. Rodriguez affirme avoir envoyé une démonstration vidéo de la vulnérabilité à Apple le 17 juillet. Dans de précédentes vidéos, Rodriguez lui-même avait montré comment accéder aux contacts sous iOS 12.1, sans déverrouiller le téléphone. Après tout, iOS a une longue histoire d'"insécurités" dans la gestion du carnet d'adresses : les versions 6.1, 7, 8.1 et 12.1 avaient toutes des bugs très similaires à celui-ci.
Enfin, Rodriguez affirme que le bug n'est plus présent dans iOS 13.1, la première mise à jour du nouveau système d'exploitation mobile d'Apple, qui arrivera le 30 septembre. À ce stade, il y aura environ 10 jours de "vide", pendant lesquels les propriétaires de smartphones Apple seraient bien avisés de faire très attention à ne pas laisser leur téléphone sans surveillance.