Apple oficjalnie nie pozwala zmienić domyślnej czcionki na iPhone’ach. Jeden z deweloperów postanowił jednak ustawić inną czcionkę i tym celu wykorzystał… exploit w iOS.
Nietypowe wykorzystanie exploitu w iOS
Jak przed chwilą wspomniałem, iPhone nie pozwala na zmianę domyślnej czcionki, czyli San Francisco. Użytkownik może w ustawieniach tylko ustawić rozmiar tekstu wyświetlanego na ekranie. Nie powinno to jednak nikogo dziwić – iOS jest dość ubogi pod względem opcji personalizacji wyglądu, chociaż w ostatnich latach nastąpił tutaj niemały postęp.
Oczywiście można w tym celu wykorzystać jailbreaka, ale na taki ruch decyduje się tylko niewielka część użytkowników smartfonów z Cupertino. Deweloper Zhuowei Zhang postanowił jednak zmienić czcionkę bez stosowania tej modyfikacji iOS i zamiast tego sięgnął po exploit.
Warto zaznaczyć, że chodzi o exploit o oznaczeniu CVE-2022-46689, który umożliwia aplikacjom wykonanie dowolnego kodu z uprawnieniami jądra systemu. Został on wyeliminowany w niedawno wydanym iOS 16.2, ale działa na iOS 16.1.2 i starszych wersjach. Jeśli więc jeszcze nie zainstalowaliście najnowszej aktualizacji 16.2, to ze względów bezpieczeństwa warto się pospieszyć.
Zmiana jest możliwa, ale to raczej tylko ciekawostka
Owszem można zmienić czcionkę z wykorzystaniem opisanego wyżej exploitu, ale nie sprowadza się to tylko do kilku kliknięć. Aplikacja, której kod znajdziecie na GitHubie, wymaga samodzielnego skompilowania projektu w Xcode lub ręcznego podpisania pliku IPA certyfikatem programisty, aby zainstalować ją na swoim urządzeniu. Najpewniej to już wystarczy, aby odstraszyć wielu właścicieli iPhone’ów.
Co ciekawe, Zhuowei Zhang przekonuje, że proces powinien być bezpieczny dla wszystkich, ponieważ zmiany są cofane po ponownym uruchomieniu iPhone’a. Mimo tego deweloper zaleca utworzenie kopii bezpieczeństwa przed użyciem aplikacji do zmiany domyślnej czcionki.
Całość należy więc traktować jako ciekawostkę i pokazanie interesującego sposobu na ominięcie zabezpieczeń stosowanych przez Apple. Ponadto, jeśli ktoś zamierza wykorzystać opisane narzędzie, to musi pamiętać, że robi to na własną odpowiedzialność i zawsze istnieje ryzyko, że proces nie zakończy się sukcesem.