Le iOS est peut-être un système bien fini et plein de fonctionnalités intéressantes, mais cela ne signifie pas qu’il sera toujours sans défaut. Un peu plus d’une semaine après la découverte d’un bug qui permettait d’accéder à des contacts même sur un appareil verrouillé par mot de passe, un nouveau bug (qui pourrait être présent depuis l’iOS 4) a été découvert. Il permet aux applications d’accéder, sans autorisation, à des photos et des vidéos sur un appareil équipé du système.
La faille réside dans la façon dont Apple a mis en œuvre l’accès aux données de localisation des photos dans iOS. Lorsqu’une application demande à l’utilisateur s’il peut accéder à ces données spécifiques, iOS lui accorde finalement l’accès aux photos et vidéos elles-mêmes sur le système. Ainsi, une application peut, par exemple, demander l’autorisation pour les données de localisation et, si elle est accordée, envoyer toutes les photos à un serveur distant.
Le site 9to5mac avait déjà pensé à cette possibilité, lorsqu’ils ont réalisé ce à quoi iOS accède le 15 de ce mois. Mais c’est NYTimes qui a contacté un développeur et lui a demandé de créer une application pour exploiter cette faille. L’application en question (ironiquement appelée Photospy) a pu accéder de manière transparente à ces photos et vidéos – même si l’utilisateur n’avait donné qu’une autorisation pour les données de localisation.
Il semble que la prochaine version d’iOS devrait comporter plus de corrections de sécurité qu’Apple ne le souhaiterait.
