Un problème inquiétant selon lequel ceux qui utilisent des appareils macOS et iOS pourraient voir leurs conversations avec Siri espionnées et enregistrées par un tiers malveillant dans certaines circonstances a heureusement été corrigé par Apple.
Il s’agissait d’un grave défaut affectant les propriétaires de Mac et d’iPhone ou d’iPad, et il a été découvert par le développeur d’applications Guilherme Rambo, comme Apple Insider (s’ouvre dans un nouvel onglet) rapports. Rambo a découvert que toute application avec accès Bluetooth pouvait exploiter la faille de sécurité et espionner les échanges Siri de l’utilisateur lors de l’utilisation d’AirPods ou d’un casque Beats (avec connexions Bluetooth).
Rambo explique (s’ouvre dans un nouvel onglet): « Découvrir que je pouvais obtenir de l’audio à partir d’AirPods sans demander la permission d’utiliser le microphone sur macOS était la première étape. »
Le développeur a ensuite effectué les mêmes astuces sur l’iPhone et l’iPad, recevant l’audio des conversations de l’utilisateur (que le développeur a d’abord pensé être cryptées, mais qui s’est avéré ne pas l’être).
Surtout, cette faille pourrait être exploitée par n’importe quel logiciel avec l’autorisation Bluetooth accordée, et cela se produit sans demande d’accès au micro, ou tout autre indice suggérant à l’utilisateur que quelque chose de fâcheux pourrait se passer.
Rambo a informé Apple du problème le 26 août, après quoi la société a lancé un processus d’enquête, mettant ensuite en œuvre un correctif (pour la vulnérabilité CVE-2022-32946) dans l’iOS 16.1 fraîchement arrivé (et la dernière version de macOS).
Analyse : bogue éliminé et prime reçue
C’est une bonne nouvelle que ce problème ait été résolu avant qu’il ne devienne notoire, bien sûr, mais nous n’avons aucune idée si l’exploit a pu être exploité par un pirate n’importe où à ce jour. Espérons que non, et au moins quelqu’un du côté léger de la barrière de sécurité a attiré l’attention d’Apple pour que le correctif soit déployé.
Évidemment, c’est une bonne raison de récupérer la dernière mise à jour pour iOS et macOS, et les bogues comme ceux-ci qui sont résolus sont précisément la raison pour laquelle vous devez vous assurer que les mises à jour sont appliquées en temps opportun.
Il n’est pas nécessairement payant de sauter sur une mise à jour donnée dans les heures qui suivent sa publication – les premiers utilisateurs peuvent tester les eaux pour des problèmes inattendus qui sont introduits, bien sûr – mais vous ne devriez pas attendre trop longtemps avant d’appliquer les mises à jour de sécurité dans particulier.
Rambo a reçu 7 000 $ (US) pour avoir signalé le bogue à Apple, et comme on le voit sur Twitter (s’ouvre dans un nouvel onglet), certains pensent que c’est un peu radin – observant que c’est la raison pour laquelle les gens vont parfois ailleurs avec ce genre de découverte, plutôt que directement à l’entreprise concernée. Une pensée inquiétante pour finir…