Un chercheur en sécurité estime avoir été lésé dans le programme de bug bounty d’Apple. Pour se venger, il vient de publier un hack qui permet d’accéder aux notes d’un iPhone verrouillé.
On ne peut pas dire que ce geste soit sympathique. Le jour de la sortie d’iOS 15, le chercheur en sécurité Jose Rodriguez a publié sur YouTube une démonstration du contournement de l’écran de verrouillage pour ce tout nouveau système. Dans cette vidéo, il montre qu’il est possible d’accéder aux notes en combinant des commandes Siri avec la fonction VoiceOver. Il arrive même à exfiltrer ces données du téléphone par un SMS.
Si Jose Rodriguez publie son hack de manière un peu brutale, c’est parce qu’il en a gros sur la patate. « Apple donne jusqu’à 25 000 dollars pour des problèmes comme celui-ci. Mais pour un problème plus grave que j’ai signalé, je n’ai obtenu que 5000 dollars », a-t-il écrit sur Twitter quelques jours avant la publication de sa vidéo. Selon The Record, l’expert fait référence à deux failles de contournement d’écran de verrouillage qu’il a trouvé et qui permettait d’accéder à des applications de messageries instantanées.
Non seulement l’expert estime ne pas avoir été récompensé à sa juste valeur, mais, en plus, il considère qu’Apple a mal fait son travail. « Apple a atténué le risque, mais n’a pas résolu le problème. Et ils ne m’ont jamais demandé si la faille était bien corrigée », souligne-t-il. Il espère qu’Apple va désormais revoir son programme de bug bounty et arrêter de « lésiner sur les récompenses ». À bon entendeur…
source : 01net