Failles dans iOS 7 : les pièces jointes aux mails ne sont pas chiffrées, les contacts sont accessibles via Siri

Par:
fredericmazue

mer, 07/05/2014 - 18:15

Selon Apple la fonctionnalité de protection des données est disponible sur les appareils proposant le chiffrement matériel, notamment sur l’iPhone 3GS et modèles ultérieurs, sur tous les modèles d’iPad et sur l’iPod touch (3e génération et ultérieure). Elle permet d’améliorer la fonction de chiffrement matériel intégré en protégeant les clés de chiffrement matériel, à l’aide d’un code. Vous profitez ainsi d’un degré de protection supplémentaire pour vos pièces jointes et applications tierces.

Dans la pratique il en va différemment d'après un billet de blog du chercheur en sécurité Andreas Kurtz. Dans ce billet, Andreas montre que les pièces attachées des mails traités par MobileMail.app, Ios 7.1 et 7.1.1 sont accessibles en clair.

Il suffit d'éteindre le smartphone et d'accéder au fichier selon des techniques bien connues  (ce qui est sans doute un peu exagéré) DFU mode, custom ramdisk, SSH over usbmux, puis de monter la partition pour accéder aux pièces attachées en clair, ceci malgré que la fonctionnalité de protection des données soit activée.

Autre faille : il est possible via l'assistant vocal Siri, de passer outre le verrouillage du smartphone pour accéder au carnet d'adresses, lancer un appel et découvrir au passage le numéro du correspondant. La marche à suivre est donnée dans la vidéo ci-dessous.