Une faille importante a été découverte hier dans FaceTime et se propage actuellement de manière virale sur les médias sociaux. Le bug permet d'appeler n'importe qui avec FaceTime, et d'entendre immédiatement l'audio provenant du téléphone, avant que la personne de l'autre côté n'ait accepté ou rejeté l'appel entrant. Apple a déclaré que le bug serait corrigé dans une mise à jour du logiciel "plus tard cette semaine".
Quelques heures après la découverte du bug, Apple a mis hors ligne la fonctionnalité "Groupe" de FaceTime afin d'empêcher l'exploitation du bug le temps de publier le correctif.

Naturellement, cela pose un problème de confidentialité, car vous pouvez écouter le son e n'importe quel utilisateur iOS, bien qu'il sonne toujours comme d'habitude.

9to5Mac a reproduit le bug FaceTime avec un iPhone X appelant un iPhone XR, mais il semblerait que n'importe quel périphérique sur iOS 12.1 ou supérieur soit vulnérable.

Voici comment reproduire le bug FaceTime :

• Lancez un appel vidéo FaceTime avec un contact iPhone.
• Pendant que l'appel est en cours de numérotation, faites glisser vers le haut à partir du bas de l'écran et appuyez sur Ajouter une personne.
• Ajoutez votre propre numéro de téléphone dans l'écran Ajouter une personne.
• Vous lancerez alors un appel FaceTime de groupe avec vous-même et l'audio de la personne que vous avez appelée à l'origine, même si elle n'a pas encore accepté l'appel.

Dans l'interface utilisateur, il semblera que l'autre personne a rejoint le groupe de discussion, mais sur son appareil actuel, il sonnera toujours sur le lockscreen.

Les conséquences de cette vulnérabilité sont plutôt sérieuses, en effet, un attaquant peut écouter des extraits sonores de la conversation en cours d'un utilisateur d'iPhone sans qu'il ne sache jamais qu'il est écouté.e avec une demande FaceTime entrante, la personne à l'autre extrémité pourrait être à l'écoute.

Un deuxième bug a été découvert, celui-ci expose également la vidéo en plus du son.

Apparemment, si lors de l'attaque, la victime appuie sur le bouton Power à partir de l'écran de verrouillage, sa vidéo est également envoyée à l'attaquant à son insu. Dans cette situation, l'attaquant peut maintenant entendre votre propre son, mais il ne sait pas qu'il vous retransmet son son et sa vidéo. De leur point de vue, tout ce qu'ils peuvent voir, c'est accepter et refuser.

Source : https://9to5mac.com/2019/01/28/facetime-bug-hear-audio/

Image par Thomas Trutschel—Photothek/Getty Images