L'équipe de sécurité de Sevco a découvert une vulnérabilité dans la nouvelle fonctionnalité « iPhone Mirroring », qui permet d'afficher l'écran de l'iPhone sur un Mac, ce qui expose les données des utilisateurs aux employeurs. Il s'agit d'une nouvelle fonctionnalité introduite par Apple sur iOS 18 et macOS Sequoia.
Lorsqu'un utilisateur utilise cette fonctionnalité, le Mac crée un dossier contenant des informations sur les applications iPhone utilisées.

Bien que le contenu spécifique de l'application ne soit pas exposé, l'attaquant peut toujours accéder à la liste des applications installées sur l'iPhone grâce à une inspection automatique du réseau. Cela peut présenter des risques pour la vie privée, en particulier dans les environnements de bureau, où les applications que les employés utilisent sur leurs téléphones personnels pourraient être exposées aux employeurs.
Sevco a informé Apple de la vulnérabilité et conseille aux utilisateurs d'arrêter temporairement d'utiliser la fonction iPhone Mirroring sur leurs Mac au travail jusqu'à ce qu'Apple publie un correctif.
Révéler des informations sur les applications installées sur l'iPhone d'un utilisateur peut entraîner de graves conséquences, telles que :
Les employeurs peuvent avoir des préjugés à l’encontre des employés en fonction des applications qu’ils utilisent, telles que les applications de rencontres, les applications de santé mentale, etc.
Certaines applications peuvent être restreintes ou interdites dans certains pays.
S'ils sont découverts en train de collecter les données personnelles de leurs employés sans autorisation, les employeurs pourraient faire face à des problèmes juridiques.
Espérons qu’Apple corrigera bientôt cette vulnérabilité pour protéger la confidentialité des utilisateurs.
iOS 18 a un bug mystérieux, l'iPhone lit les mots de passe des utilisateurs à voix haute
Une vulnérabilité grave découverte dans iOS 18 et iPadOS 18 permet à la fonction VoiceOver de lire les mots de passe stockés, menaçant la confidentialité des utilisateurs et soulevant des problèmes majeurs de sécurité de l'information dans le secteur technologique.

Le bug, identifié avec le code CVE-2024-44204, est une erreur logique dans la nouvelle application de gestion de mots de passe. La capacité de VoiceOver à lire le mot de passe d'un utilisateur pourrait exposer des informations personnelles, permettant un accès non autorisé au compte.
Plusieurs modèles d'iPhone et d'iPad, y compris l'iPhone X et les modèles d'iPad comme l'iPad Pro et l'iPad Air à partir de la troisième génération, sont affectés par ce bug.
Pour corriger ce bug grave, Apple a rapidement publié les mises à jour iOS 18.0.1 et iPadOS 18.0.1. Dans le même temps, la société a également confirmé avoir mis en œuvre des mesures de test plus rigoureuses pour garantir que VoiceOver ne soit plus en mesure de lire les mots de passe des utilisateurs.
En plus du bug VoiceOver, la version iOS 18 a également rencontré un certain nombre d'autres problèmes tels que le bug CVE-2024-44207 affectant les nouveaux modèles d'iPhone 16 qui permettait l'enregistrement de messages vocaux sans avertir l'utilisateur que le microphone était actif. Heureusement, ce problème a été résolu.
La vulnérabilité VoiceOver a été découverte par le chercheur indépendant Bistrit Daha. L’émergence de ces vulnérabilités souligne l’importance pour les utilisateurs de mettre à jour régulièrement leurs appareils et montre la valeur des audits de sécurité indépendants pour détecter et résoudre ces problèmes.