iOS9 : une manipulation pour contourner l'écran de verrouillage

Le par  |  2 commentaire(s)
iPhone6-iOS9

A chaque sortie d'une nouvelle version d'un système mobile, de nouvelles failles se font connaitre. Sur iOS 9, une manipulation permet de contourner l'écran de verrouillage du smartphone.

Le système de verrouillage d'iOS 9 semble souffrir d'une faille qui permettrait à n'importe qui de le contourner pour accéder à certaines fonctionnalités de l'appareil. Et cette faille porte un nom : Siri.

Par défaut, dans iOS 9, Siri est activée sur l'écran de verrouillage. Pour contourner cet écran, il suffit alors de taper n'importe quel code quatre fois de suite. Lors de la cinquième tentative, il suffit de renseigner tous les chiffres à l'exception du dernier. Au moment d'appuyer sur le dernier chiffre, il faut appuyer sur le bouton home en simultanée pour déclencher Siri.

  

Là il suffit de demander l'heure à l'assistant vocal, puis d'appuyer sur le cadran qui s'affiche. L'utilisateur a ainsi accès au menu des horloges. Il faut alors ajouter une horloge via le menu déroulant + puis double taper sur cette dernière et tenter de la partager via message.

Voilà, vous avez désormais accès à la liste de contacts et consultez l'ensemble des fiches du carnet d'adresses.On remarque que l'on a également accès aux photos en tentant d'enregistrer ou de modifier la photo d'un contact. La faille relève quelque peu du casse-tête et on imagine mal comment la personne qui l'a trouvée a pu arriver à cette séquence de manipulations...

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1860664
ca rappelle les vieux jeux video pour les tips

haut haut bas gauche droite etoile carre haut bas gauche droite
Le #1860994
ce n'est en fait pas si compliqué puisque taper 5 codes incorrects et appuyer sur le bouton home pour sortir de l'écran du clavier d'entrée du code n'est pas difficile à trouver: le bogue étant que Siri puisse être appelé depuis cet écran alors qu'il devrait rester inactif.
Une fois dans Siri, on peut tout lui demander et l'horloge est effectivement une appli qui sera toujours présente.
D'aileurs l'autre bogue c'est que l'appli d'horloge ele meme a un bogue car au lieu de chercher une ville elle permet de rentrer dans une fonction de recherche étendue de mots-clés qui a accès à toutes les infos (contacts; photos) alors qu'elle ne devrait chercher QUE dans la liste des villes connues. c'est ici une restriction oublie dans le module de saisie de texte ui propose ces recherches étendues.
On pourra trouver 'autres bogues si,ilaires si on a installé une appli d'accessibilité (on retrouve aussi ces bigues sur Winows Phone et Android; car ces OS contiennent de nombreuses portes d'entrées pour des extensions supplémentaires sur les écrans de saisie ou interfaces d'entrée et dont les pplis de base delandant une entrée n'ont même pas idée et qui sont oubliées ensuite quand ces extensions sont ajoutées par défaut dans la configuration de base des OS)
On touche du doigt ce que signifie "isolation" le lockscreen a oublié de mettre des restrictions destinées à désactiver les extensions sur leur interface de saisie utilisant des co,posants d'etrée standard de l'OS au lieu d'utiliser les seules méthodes d'entrée et interfaces.
Tous les OS ont tendance à introduire des extensions puis les oublier dans les versions suivantes juqu'au jour où elles sont actives par défaut mais non restreintes car ces extensions n'existaient pas au début. A la base il s'ahit d'un bogue de conception qui a oublié de concevoir un système de restriction.
Les OS deviennt énormes et sont des chateaux de cartes dont on ne teste que la partie superficielle en oubliant qu'il existait des trous dans les fondations "invisibles' mais toujours là.
On a des attaques similaires sur ltous les dispositifs d'entrée et pas seulement ceux de l'interface utilisateur; nitament dans les interfaces réseaux et l'implémentatin des protocoles de base qui sont tous munis de no,breux mécanismes d'extension; parfois obsolètes et devenus vides mais toujours utilisables. De meme tous les ,écanismes de sécurité qui se basent sur une séquence ordonnée d'actions et de réponses sont mal testés car les auto,ates d'états ne sont pas fouillés exhaustivement tellement ils sont tentaculaires.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]