Dans le cadre du concours Mobile Pwn2Own qui se tenait à Tokyo, deux hackers sont parvenus à infiltrer un iPhone sous iOS 12.1 et récupérer une photo contenue dans la corbeille.

Cet exploit accompli par Richard Zhu et Amat Cama a permis aux deux pirates informatiques d’empocher 50.000$ de gains. Seulement, la faille pourrait en coûter bien plus à des victimes de la brèche. Une simple photo d’un mot de passe ou d’un code de carte bancaire envoyé vers la corbeille n’aurait pas suffi à faire disparaître le cliché.

Pire encore, n’importe quel fichier contenu dans la corbeille aurait pu être récupéré par les deux hackers qui ont fait équipe sous le nom Fluoroacetate. Le duo a exploité une faille de Safari qui leur a permis d’exploiter le compilateur “just-in-time” via un point d’accès Wi-Fi malveillant.

La brèche réside dans le fait que les fichiers envoyés vers la corbeille subsistent encore 30 jours sur le téléphone avant de disparaître définitivement. À l’issue de ce délai, Apple supprime irrémédiablement les fichiers mais c’est au cours de cette période que des hackers peuvent y accéder à distance.

Informé de l’existence de cette faille, Apple aurait déjà mise des moyens en oeuvre pour la refermer.