Secouer et récupérer le mot de passe
Du temps pas si lointain de l’OS 3.0, il était relativement facile de récupérer les mots de passe utilisés dans les sites web ou les applications d’un possesseur de iPhone, comme l’a démontré le site ModMy.
L’idée est simple : lorsqu’un site ou une application a besoin d’un identifiant et d’un mot de passe qui sont stockés sur l’iPhone, ils affichent les informations en vertu de l’auto-remplissage en masquant le mot de passe. Las, il suffit à un malin bidouilleur d’effacer la dernière lettre de ce dernier, puis de secouer l’iPhone afin d’activer la fonction «annuler»… qui affichera alors ladite lettre ! Il suffit de répéter l’opération jusqu’à ce que le maladrin récupère l’intégralité du mot de passe, comme on le voit dans cette vidéo :
Cette faille de sécurité a été bouchée avec le firmware 3.1.
