Si vous n’avez pas encore téléchargé la mise à jour iOS 16.1 sur votre iPhone, n’attendez pas plus longtemps pour le faire. Car outre les nouvelles fonctionnalités introduites dans cette nouvelle mouture, Apple a corrigé un certain nombre de failles de sécurité, dont une relativement importante. Un vilain bug permettait en effet à n’importe quelle application pouvant accéder à la connexion Bluetooth de l’appareil d’écouter et d’enregistrer vos conversations… grâce à la dictée vocale de Siri et aux AirPods.
Un accès au micro sans autorisation
Ce bug, depuis renommé SiriSpy, a été découvert par Guilherme Rambo, le développeur d’AirBuddy, une application macOS qui facilite la connexion des appareils Bluetooth, dont les AirPods et les casques Beats, sur les Mac. Et c’est en se penchant un peu plus sur les AirPods qu’il a fait une étrange découverte.
Il s’est ainsi rendu compte que toutes les applications disposant d’un accès à la connexion Bluetooth pouvaient enregistrer le son via la fonction de dictée vocale de Siri (intégrée au clavier d’iOS) pendant l’utilisation d’AirPods. Pire encore, il a découvert que les applications concernées n’avaient même pas besoin de demander de permission d’accès au micro pour pouvoir écouter (et enregistrer) les sons captés par le microphone. Surtout, elles ne laissaient par ailleurs aucune trace de cette activité.
iOS et macOS tous les deux concernés
Pour pouvoir tester si le problème qu’il avait découvert était présent sur les autres OS d’Apple, le développeur a créé une petite application se chargeant d’exécuter plusieurs tests. Et cela lui a permis de mieux comprendre le fonctionnement de cette anomalie.
Ainsi, pour que le bug fonctionne, l’utilisateur devait toujours autoriser les applications à accéder au Bluetooth de l’iPhone. Il estime néanmoins que cette autorisation ne devrait pas permettre aux applications de pouvoir accéder aux sons enregistrés via la dictée vocale de Siri intégrée au clavier d’iOS.
Sur macOS en revanche, le développeur s’est aperçu qu’absolument aucune requête de permission d’accès n’était demandée. N’importe quelle application pouvait enregistrer des conversations en utilisant la dictée vocale de Siri. Mais le pire restait encore à venir puisque le bug aurait pu permettre aux applications d’accéder au son capté par le microphone, sans même que l’utilisateur ne parle à Siri ou n’utilise la dictée vocale.
Dans un long billet de blog, Guilherme Rambo a détaillé tous les travaux lui ayant permis de mettre au jour cette brèche. On y apprend qu’il a découvert ce bug et l’a aussitôt signalé à Apple à la fin de mois d’août. Après avoir mené son enquête à l’aide des éléments fournis par le développeur, Apple a intégré les correctifs nécessaires sur l’ensemble des OS concernés. L’entreprise californienne a par ailleurs récompensé Guilherme Rambo d’une prime de 7 000 dollars pour sa découverte.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : 9to5Mac
