Une chaîne de texte provoque le blocage de l'écran d'accueil et des menus de paramètres, aucune menace de sécurité… pour l'instant
En un mot: Une prochaine mise à jour publique du firmware d'Apple mentionnera probablement un bug impliquant des combinaisons de caractères spécifiques dans son journal des modifications. Bien que le problème semble pour l'instant plutôt inoffensif, des exploits similaires ont été utilisés par le passé pour faire planter des appareils et créer de nouvelles vulnérabilités.
Les utilisateurs d'appareils Apple ont récemment découvert un bug mineur qui provoque le blocage de l'écran Paramètres et de l'écran d'accueil. Bien qu'aucun problème grave n'ait été signalé jusqu'à présent, un correctif dans une future mise à jour du firmware ne serait pas surprenant.
En faisant glisser votre doigt vers la droite sur l'écran d'accueil d'iOS jusqu'à ce que la bibliothèque d'applications apparaisse, puis en tapant les caractères « :: » dans la barre de recherche, Springboard, le logiciel qui gère le menu principal, plante. Un écran noir avec une icône de chargement apparaît brièvement avant que l'appareil ne revienne à l'écran de verrouillage.
De plus, la saisie des mêmes caractères dans la barre de recherche en haut du menu Paramètres fait planter l'application, renvoyant immédiatement les utilisateurs à l'écran d'accueil. Cependant, le bug peut également être déclenché par des variantes de cette combinaison de caractères.
Des chercheurs en sécurité ont découvert que presque toutes les combinaisons impliquant deux guillemets, un deux-points et n'importe quel autre caractère peuvent déclencher le même effet. Par exemple, taper « X » : X provoque également le problème. Metatrone a confirmé que le bug se produit sur les iPhones et iPads exécutant la version 17.6.1 du firmware, mais les Mac ne sont pas affectés.
Les chercheurs ont déclaré à TechCrunch que le problème ne constituait pas une menace pour la sécurité. Cependant, le bug peut susciter certaines inquiétudes car il ressemble à des incidents plus graves survenus dans le passé.
En 2015, une chaîne de texte particulière a provoqué du stress chez les utilisateurs lorsqu’ils ont découvert qu’elle pouvait les empêcher d’accéder à l’application Messages ou même redémarrer l’iPhone. En 2017, les utilisateurs ont découvert qu’ils pouvaient faire planter à distance un iPhone ou un iPad en envoyant une combinaison spécifique d’émojis via iMessage, iCloud et l’application Notes. Un autre crash déclenché par une chaîne de texte apparaissant dans les notifications est apparu en 2020.
Des exploits similaires à distance ont permis à des pirates de transmettre des logiciels espions via des attaques sans clic. Des programmes comme Pegasus ont forcé Apple à mettre en œuvre des mesures de sécurité pour protéger des cibles sensibles, comme les journalistes et les diplomates.
Les téléphones Google Pixel ont également récemment rencontré une faille dangereuse au niveau du micrologiciel où une application cachée accédait à des serveurs non sécurisés, rendant les appareils vulnérables aux attaques de l'homme du milieu.
Heureusement, le récent bug iOS ne peut être déclenché que par une personne utilisant physiquement l'appareil, le risque potentiel reste donc limité.
