Accueil » Actualité » Siri en dit trop sur votre carnet d’adresses et vos photos

Siri en dit trop sur votre carnet d’adresses et vos photos

Siri est capable de donner toutes les informations de votre carnet d’adresses ou montrer toutes vos photos à n’importe qui. La faille de sécurité n’a pas encore été corrigée.

No ask for passcode, Siri gives access contacts and photos. iOS 9 – 9.3.1

Une faille de sécurité découverte par Jose Rodriguez permet à n’importe qui de passer par Siri pour ouvrir les applications Carnet d’adresses et Photos sur iOS 9.3.1 sans avoir à entrer le code de l’utilisateur. La manipulation est assez simple. Il suffit de lancer une requête sur Twitter en utilisant l’assistant personnel d’Apple depuis l’écran de verrouillage. Si un tweet contient une adresse email, il est possible d’utiliser 3D Touch pour mettre à jour une entrée, ce qui permet de voir tout ce qu’il y a dans le carnet d’adresses. Il est aussi possible d’accéder aux photos en tentant de mettre à jour une entrée du carnet.

Une parade simple avant la publication d’un correctif

La parade consiste à simplement interdire Siri de lancer une recherche sur Twitter depuis Paramètres -> Twitter. On peut aussi faire la même chose pour Photos depuis Paramètres -> Confidentialité -> Photos. De plus, la faille n’a été testée que sur des iPhone 6s et iPhone 6s Plus. Il est donc possible que d’autres terminaux ou des anciennes versions d’iOS ne soient pas affectés. Nous avons par contre pu confirmer qu’elle est bien présente sur un iPhone 6s Plus utilisant iOS 9.3.1