Испанецът Хосе Родригес, начинаещ специалист по киберсигурност, е открил бъг в iOS 12, който позволява на атакуващ с физически достъп до заключен телефон iPhone да получи достъп до всичките му снимки, научаваме от AppleInsider.
Родригес е открил възможност за атака, заобикаляща паролата на iPhone с iOS 12.0.1, която освен това е и доста лесна за изпълнение.
Всеки, който прочете за откритието му и има физически достъп до заключения ви iPhone, може да получи пълен достъп до вашия фотоалбум. Освен това ще може да си избере снимки и да ги изпрати на всеки друг телефон, който използва Apple Messages.
Хората вярват, че тази марка смартфони е изключително сигурна, но сега излиза, че всички потребители на iPhone са уязвими към недоверчив партньор, любопитен колега, мнителен шеф, защото абсолютно всеки може да влезе в албума със снимките на iPhone, да ги разглежда и изпраща на когото пожелае.
Как се заобикаля заключения екран на iPhone за достъп до снимките?
Хосе Родригес е заснел видео, в което показва, че откритият от него бъг използва Siri и VoiceOver екранния четец, за да заобиколи защитата на телефона ви:
Стъпка по стъпка
Обадете се на този iPhone, който искате да атакувате, от който и да е друг телефон.
Не отговаряйте на обаждането, а вместо това докоснете „Messages“ и след това „Custom“, за да отговорите чрез текстово съобщение.
Въведете произволна дума в полето за текстово съобщение.
Кажете на Siri да активира услугата, предназначена за потребители с увредено зрение, VoiceOver.
Докоснете иконката на камерата.
Извикайте Siri с „home“ бутона на iPhone, като едновременно с това докоснете два пъти екрана на телефона. Ако не се получи, направете го няколко пъти.
Когато екранът стане черен, прекарайте пръст по екрана до горния ляв ъгъл. VoiceOver ще прочете на глас това, което изберете. Скролирайте, докато VoiceOver прочете „Photo Library“.
Докоснете два пъти екрана, за да изберете „Photo Library“. Така ще отидете обратно в екрана за съобщения, но ще видите празно поле на мястото на клавиатурата – това всъщност е невидима Photo Library.
Плъзнете пръст нагоре, за да прочете VoiceOver на глас характеристиките на всяка снимка.
Сега докоснете два пъти снимката и тя ще се отвори, докато я добавяте към текстовото поле, което след това можете да изпратите на който си пожелаете номер.
И ако си мислите, че вашите файлове са в безопасност, сега е моментът да ви кажем, че новият метод за заобикаляне на паролите е успешен срещу всички настоящи модели на iPhone, включително и устройствата iPhone X и XS, работещи с най-новата версия на мобилната операционна система Apple, т.е. iOS 12 до 12.0.1.
Единственото, което експертите по киберсигурност от AMATAS могат да ви посъветват, докато от Apple не пуснат пачове на този бъг на сигурността, е как временно да решите проблема. За момента единственият начин да го постигнете, е като деактивирате Siri от заключващия екран.
Как да деактивирате Siri
Отворете Settings → Face ID & Passcode (Touch ID & Passcode на iPhone с Touch ID) и деактивирайте Siri toggle в Allow access when locked.
Разбира се, деактивирайки Siri, няма да можете да го използвате като функционалност, но така ще попречите на всеки, който прочете тази новина, да злоупотреби с този бъг, заобикалящ паролата на iPhone и да получи възможността да достъпи и разпрати личните ви снимки на когото пожелае.
Според специалистите по киберсигурност силно обезпокоителен е не толкова фактът, че този бъг съществува, колкото че неговият откривател е начинаещ в професията, а бъгът е доста лесен за експлоатиране. Това за пореден път доказва, че в днешния технологичен свят няма пълна гаранция за сигурност. Затова всеки трябва да взима редовно мерки за гарантирането на собствената си защита в киберпространството и много внимателно избере фирмата за киберсигурност, на която да се довери.
Снимка: The Hacker News
