Des failles pour accéder à la caméra de n’importe quel iPhone ou Mac
Cet incident rappelle que tous les appareils électroniques et communicants, même sous gage de confidentialité, sont vulnérables.
Les grandes entreprises tiennent si cher à la sécurité de leurs produits qu’elles font souvent appel à un bug bounty pour repérer les potentielles brèches dans leur code. Ce programme rémunère des hackers lorsque ceux-ci mettent en lumière des dangers que n’avait pas repérés l’éditeur. De nombreux white hats gagnent ainsi leur vie en traquant les moindres détails des logiciels de Tesla, Facebook, Google ou encore Microsoft.
Chez Apple, cette initiative existe aussi. Et Ryan Pickren, un américain passé par Amazon Web Services, vient justement d’en profiter.
Qui est concerné ?
Le jeune homme vient ainsi de gagner 75 000 dollars en découvrant un moyen d’accéder à l’objectif frontal d’un iPhone en passant par Safari, et ce sans que le visiteur du site web piégé n’ait à télécharger quoi que ce soit. Un problème technique d’ailleurs présent également sur macOS.
Depuis, un correctif a évidemment été mis en place par Apple grâce à une mise à jour. Mais combinant une simple d’autorisation d’accès au capteur de l’appareil avec du phising, cet incident aurait pu avoir été utilisé auparavant par des pirates bien plus malveillants. On ne sait malheureusement pas si certains produits sous iOS ont pu être touchés, néanmoins ils étaient tous de potentielles victimes auparavant.
La réactivité d’Apple dans ce genre d’affaires démontre de nouveau à quel point la société tient à protéger la vie privée de ses clients. L’Apple Security Bounty vous tente également ? Rendez-vous juste ici pour tenter de gagner jusqu’à un million de dollars.
Mike (posté avec l'app i-nfo.fr V2)
5 avril 2020 à 18 h 38 min
Dites @Valentin, vous devriez mettre la source en tête d’article, ça nous éviterait de lire des bêtises :
en combinant une simple autorisation d’accès au capteur de l’appareil avec du phishing !
De un, l’iPhone est muni de pleins de capteurs, de deux, les deux choses sont fausses ! Il n’est nullement question de phishing (là où l’utilisateur se fait avoir et insère ses propres infos, ce qui n’est pas le cas).
Voilà ce qui est dit :
La vulnérabilité permet à un site malicieux de se faire passer pour un site vérifié. Et si le website veut accéder à la caméra, la seule chose à faire est de se faire passer pour un site de vidéo-conférence vérifié tes que Skype et Zoom.
Vous le voyez où le phishing ?
Mike (posté avec l'app i-nfo.fr V2)
5 avril 2020 à 18 h 39 min
Si vous n’avez pas lu entièrement mon précédent commentaire :
Il n’est nullement question de phishing (là où l’utilisateur se fait avoir et insère ses propres infos, ce qui n’est pas le cas).
Voilà ce qui est dit :
La vulnérabilité permet à un site malicieux de se faire passer pour un site vérifié. Et si le website veut accéder à la caméra, la seule chose à faire est de se faire passer pour un site de vidéo-conférence vérifié tes que Skype et Zoom.
Bien à vous !