Siri a beau être votre assistant personnel et vous accompagner au quotidien, son intelligence et sa personnalité ne tiennent pas dans votre iPhone, comme vous pouvez d’ailleurs le constater quand vous n’avez soudainement plus accès au réseau. Invoquer Siri, c’est se connecter au serveur d’Apple.
Voilà qui explique que la société de Cupertino ait pu mettre à jour la faille de sécurité qui touchait l’assistant virtuel sans avoir à mettre à jour iOS et ce, quelques heures seulement après que la faille a été publiée… Nous vous en parlions hier (voir ci-dessous), ce problème de sécurité permettait en effet de contourner l’écran de verrouillage et d’accéder à vos contacts et à vos photos en faisant une simple recherche sur Twitter depuis Siri sur un iPhone verrouillé.
Maintenant quand on cherche à lancer une recherche sur Twitter depuis Siri alors que l’iPhone n’est pas actif, il faut impérativement saisir son code. Si on perd ainsi en fluidité d’usage, on gagne en sécurité.
Par ailleurs, Apple semble avoir profité de cette mise à jour pour corriger un bug qui concernait également une interaction via Siri. L’assistant vous permettait d’activer le mode Night Shift alors que vous étiez en mode économie d’énergie. Désormais, quand vous faites cette demande à Siri, un message vous indique que Siri va désactiver le mode d’économie d’énergie si vous êtes d’accord…
Première publication mardi 5 avril 2016, à 11h56.
Une faille permet d’accéder aux contacts et aux photos d’un iPhone sans saisir de code
Si vous êtes propriétaire d’un iPhone 6s et 6s Plus, il est fort probable que vous soyez exposé à une faille de sécurité que vient de découvrir Jose Rodriguez, comme il le prouve dans une vidéo postée sur YouTube. Pas de panique toutefois, le scénario qui est mène à l’accès à vos contacts et vos images est très précis et requiert certains prérequis… Pour autant, avec un iPhone 6s, sous iOS 9.3.1, nous avons réussi à reproduire cette manipulation à l’identique…
– Depuis l’écran d’accueil verrouillé de l’iPhone, l’attaquant invoque Siri, grâce à la fonction Dis, Siri ou appuyant longuement sur le bouton Home.
– Il doit ensuite demander à l’assistant vocal de chercher sur Twitter. L’objectif est de trouver une adresse mail. Il suffit alors de demander à Siri de trouver « @gmail.com » ou « @yahoo.com ». Peu importe le domaine, tant qu’il est populaire et donne un résultat.
– Une fois le bon tweet trouvé, avec une adresse mail cliquable, il faut recourir à 3D Touch, exclusif pour l’instant aux 6s et 6s Plus.
– Depuis le menu contextuel qui s’affiche, l’attaquant demande à ajouter cette adresse électronique à un contact existant.
Dès lors, il a accès à tous les contacts contenus dans l’iPhone, sans qu’il ne soit demandé de saisir le code d’activation. Mieux, la fonction qui permet d’illustrer la fiche de contact avec une photo ouvre tout grand l’accès à la photothèque. L’intrus malintentionné peut donc consulter toutes vos photos sans encombre.
Jose Rodriguez, qui a déjà fait parler de lui en septembre dernier pour une trouvaille similaire, a également précisé à Apple Insider que cette faille fonctionne avec une recherche dans la liste des amis WhatsApp.
Pour se prémunir contre cette faille, en attendant un correctif de la part d’Apple, mieux vaut empêcher Siri d’accéder à Twitter depuis Réglages/Twitter. La solution la plus extrême serait évidemment de désactiver Siri, purement et simplement…
Source :
Apple Insider
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
