Un bug d'iOS 12.1 permet aux pirates d'accéder aux photos supprimées de l'iPhone via Wi-Fi

Le navigateur Web Safari du dernier iOS 12.1 contient un bug qui permet de récupérer des photos supprimées sur un iPhone. Le bug a été démontré cette semaine lors du concours Mobile Pwn2Own de Tokyo par les hackers au chapeau blanc Richard Zhu et Amat Cama.

Le sponsor du concours, Zero Day Initiative de Trend Micro, a déclaré que le duo de hackers avait réussi à démontrer l'attaque via Safari dans le cadre de la remise de prix en espèces. Le couple, opérant sous le nom de Fluoroacetate, s'est connecté à un iPhone X cible exécutant iOS 12.1 via un réseau Wi-Fi non sécurisé et a eu accès à une photo qui avait été délibérément supprimée de l'appareil. Les pirates ont reçu une récompense de 50 XNUMX dollars pour leur découverte. D'après le serveur 9to5Mac un bug dans Safari pourrait non seulement menacer les photos : l'attaque peut théoriquement obtenir n'importe quel nombre de fichiers de l'appareil cible.

La photo utilisée dans l'exemple d'attaque a été marquée pour suppression, mais se trouvait toujours sur l'appareil dans le dossier « Récemment supprimées ». Cela a été introduit par Apple dans le cadre de la prévention de la suppression permanente non désirée d'images de la galerie de photos. Par défaut, les photos sont conservées dans ce dossier pendant trente jours, à partir duquel l'utilisateur peut les restaurer ou les supprimer définitivement.

Mais il ne s’agit pas d’une erreur isolée, ni d’une affaire privilégiée des appareils Apple. Le même couple de pirates a également révélé la même faille dans les appareils Android, notamment le Samsung Galaxy S9 et le Xiaomi Mi6. Apple a également été informé de la faille de sécurité, un correctif devrait bientôt arriver – très probablement dans la prochaine version bêta du système d'exploitation iOS 12.1.1.