un bogue permettait aux applications d’écouter vos conversations à votre insu

L'iPhone 14 Plus et son encoche. Derrière, l'iPhone 14 Pro Max fait le malin et du photo bombing avec sa Dynamic Island.


En déployant iOS 16.1 en début de semaine, Apple a discrètement corrigé un vilain bogue permettant à n’importe quelle application accédant au Bluetooth d’écouter vos conversations.

Si vous n’avez pas encore téléchargé la mise à jour iOS 16.1 sur votre iPhone, n’attendez pas plus longtemps pour le faire. Car outre les nouvelles fonctionnalités introduites dans cette nouvelle mouture, Apple a corrigé un certain nombre de failles de sécurité, dont une relativement importante. Un vilain bogue permettait en effet à n’importe quelle application pouvant accéder à la connexion Bluetooth de l’appareil d’écouter et d’enregistrer vos conversations… grâce à la dictée vocale de Siri et aux AirPods.

Un accès au micro sans autorisation

Ce vilain bogue, depuis renommé SiriSpy, a été découvert par Guilherme Rambo, le développeur d’AirBuddy, une application macOS qui facilite la connexion des appareils Bluetooth, dont les AirPods et les casques Beats, sur les Mac. Et c’est en se penchant un peu plus sur les AirPods qu’il a fait une étrange découverte.

Il s’est ainsi rendu compte que toutes les applications disposant d’un accès à la connexion Bluetooth pouvaient enregistrer le son via la fonction de dictée vocale de Siri (intégrée au clavier d’iOS) pendant l’utilisation d’AirPods. Pire encore, il a découvert que les applications concernées n’avaient même pas besoin de demander de permission d’accès au micro pour pouvoir écouter (et enregistrer) les sons captés par le microphone. Surtout, elles ne laissaient par ailleurs aucune trace de cette activité.

iOS et macOS tous les deux concernés

Pour pouvoir tester si le bogue qu’il avait découvert était présent sur les autres OS d’Apple, le développeur a créé une petite application se chargeant d’exécuter plusieurs tests. Et cela lui a permis de mieux comprendre le fonctionnement de cette anomalie.

Ainsi, pour que le bogue fonctionne, l’utilisateur devait toujours autoriser les applications à accéder au Bluetooth de l’iPhone. Il estime néanmoins que cette autorisation ne devrait pas permettre aux applications de pouvoir accéder aux sons enregistrés via la dictée vocale de Siri intégrée au clavier d’iOS.

Sur macOS en revanche, le développeur s’est aperçu qu’absolument aucune requête de permission d’accès n’était demandée. N’importe quelle application pouvait enregistrer des conversations en utilisant la dictée vocale de Siri. Mais le pire restait encore à venir puisque le bogue aurait pu permettre aux applications d’accéder au son capté par le microphone, sans même que l’utilisateur ne parle à Siri ou n’utilise la dictée vocale.

Dans un long billet de blog, Guilherme Rambo a détaillé tous les travaux lui ayant permis de mettre au jour cette brèche. On y apprend qu’il a découvert ce bogue et l’a aussitôt signalé à Apple à la fin de mois d’août. Après avoir mené son enquête à l’aide des éléments fournis par le développeur, Apple a intégré les correctifs nécessaires sur l’ensemble des OS concernés. L’entreprise californienne a par ailleurs récompensé Guilherme Rambo d’une prime de 7 000 dollars pour sa découverte.

Source :

9to5Mac



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.