Stabilny iOS 13 nie został jeszcze oficjalnie udostępniony, aktualizacja pojawi się bowiem w przyszłym tygodniu. Mimo tego, w systemie znaleziono już lukę zapewniającą dostęp do kontaktów, bez konieczności odblokowywania iPhone’a.
Nie musisz znać kodu czy korzystać z biometrycznego zabezpieczenia
Nowy exploit został odkryty przez Jose Rodrigueza, który na YouTube udostępnił materiał wideo przedstawiający skuteczną metodę przeprowadzenia ataku. Warto zaznaczyć, że nie są wymagane żadne wyższe umiejętności, ale użytkownicy iPhone’ów nie powinni czuć się zagrożeni. Luka wymaga bowiem fizycznego dostępu do urządzenia.
Pierwszy etap to wykonanie połączenia telefonicznego lub przez Face ID na urządzenie ofiary. W kolejnym kroku atakujący musi odrzucić połączenie, wybierając napisanie niestandardowej wiadomości zwrotnej. Na ekranie nowej wiadomości należy włączyć funkcję VoiceOver za pomocą Siri i następnie ją wyłączyć, również z użyciem asystentki głosowej Apple.
Po wykonaniu powyższych czynności, atakujący w polu odbiorców wiadomości może dodać nowe pozycje. Dzięki temu, możliwe staje się przejrzenie danych o poszczególnych kontaktach zapisanych na urządzeniu. Napastnik zyskuje podgląd nie tylko nazwy kontaktu i numeru telefonu, ale także inne szczegóły. Co więcej, ma on dostęp do opcji dodawania nowych kontaktów.
Atakujący nie ma łatwego zadania
Owszem, przeprowadzenie ataku jest dość proste, ale wcześniej należy spełnić kilka podstawowych warunków. Po pierwsze, należy mieć fizyczny dostęp do urządzenia ofiary. Nie można przeprowadzić ataku zdalnie. Po drugie, atakujący musi znać numer telefonu, aby wykonać połączenie. Po trzecie, luka zapewnia dostęp wyłącznie do kontaktów. Jasne, pozwala to na wyciągnięcie wrażliwych danych, ale to wciąż nie jest pełny dostęp do wszystkich informacji zapisanych na smartfonie.
Mimo iż exploit nie stanowi dużego zagrożenia, to Apple powinno jak najszybciej wyeliminować opisany błąd. W końcu firma Tima Cooka często chwali się wysokim poziomem bezpieczeństwa swoich urządzeń, warto więc udowodnić, że faktycznie dba ona o swoich klientów.
Osoby, które obawiają się odkrytej luki, mogą się przed nią ochronić. Wystarczy wyłączyć funkcję sterowania głosowego z wykorzystaniem Siri.
Polecamy również:
iOS 13, iPadOS i watchOS 6 – dowiedzieliśmy się, kiedy Apple udostępni aktualizacje
źródło: AppleInsider