Ανακαλύφθηκε μια ευπάθεια παράκαμψης κωδικού πρόσβασης στο iOS 12, η οποία δυνητικά επιτρέπει σε έναν εισβολέα να έχει πρόσβαση σε φωτογραφίες και στοιχεία επικοινωνίας σε ένα κλειδωμένο iPhone.
Η μάλλον περίπλοκη μέθοδος παράκαμψης κοινοποιήθηκε στο α βίντεο από τον Χοσέ Ροντρίγκεζ, ο οποίος ανακάλυψε σφάλματα iOS στο παρελθόν που η Apple στη συνέχεια διόρθωσε.
Με φυσική πρόσβαση στην κλειδωμένη συσκευή, ο εισβολέας ζητά πρώτα από τη Siri να ενεργοποιήσει το VoiceOver, θέτει σε αδράνεια τη συσκευή με το κουμπί Side και, στη συνέχεια, καλεί το iPhone χρησιμοποιώντας άλλη συσκευή. Μόλις εμφανιστεί η οθόνη κλήσης, ο εισβολέας πατά το κουμπί Μήνυμα, επιλέγει να δημιουργήσει ένα προσαρμοσμένο μήνυμα και, στη συνέχεια, αγγίζει το εικονίδιο συν (+) επάνω δεξιά.
Στη συνέχεια, στο άλλο τηλέφωνο, ο εισβολέας στέλνει ένα κείμενο ή ένα iMessage στο iPhone-στόχο, του οποίου η οθόνη αγγίζεται στη συνέχεια όταν εμφανίζεται η ειδοποίηση μηνύματος. Αυτό προκαλεί μια περίεργη συμπεριφορά στη διεπαφή χρήστη, καθώς επισημαίνει το εικονίδιο συν από κάτω.
Μετά από μια σύντομη αναμονή, η οθόνη γίνεται λευκή και η ειδοποίηση εξαφανίζεται, αλλά το πλαίσιο επιλογής κειμένου του VoiceOver προφανώς εξακολουθεί να μπορεί να πατηθεί και μπορεί τώρα να χρησιμοποιηθεί για πρόσβαση στη διεπαφή μηνυμάτων. Μετά από πολλά σάρωση της οθόνης, το VoiceOver ακούγεται να λέει «Ακύρωση», το οποίο αποκαλύπτει την αρχική οθόνη Μηνυμάτων.
Η προσθήκη ενός νέου παραλήπτη στο μήνυμα και η επιλογή ενός αριθμού από το εικονικό πληκτρολόγιο αποκαλύπτει, στη συνέχεια, μια λίστα με αριθμούς τηλεφώνου και επαφών που καλέσατε πρόσφατα ή λάβατε. Επιπλέον, εάν ένας από τους αριθμούς ή τις επαφές περιλαμβάνει ένα κουμπί πληροφοριών ('i'), η απενεργοποίηση του VoiceOver και το πάτημα του κουμπιού εμφανίζουν τις πληροφορίες της επαφής. Η εκτέλεση μιας ενέργειας 3D Touch στην επαφή εμφανίζει επίσης επιλογές κλήσεων και μηνυμάτων, μαζί με επιλογές για Προσθήκη σε υπάρχουσα επαφή ή Δημιουργία νέας επαφής.
Σε ένα παρόμοιο περίπλοκο σύνολο βημάτων που περιλαμβάνει ένα αόρατο μενού χρήστη, ένας εισβολέας μπορεί τελικά να αποκτήσει πρόσβαση στο κλειδωμένο Ρολό κάμερας του iPhone και σε άλλους φακέλους φωτογραφιών, οι οποίοι στη συνέχεια μπορούν να χρησιμοποιηθούν για την προσθήκη εικόνων προφίλ σε κάρτες επαφών.
Οι μέθοδοι παράκαμψης λειτουργούν σε όλα τα iPhone, συμπεριλαμβανομένης της σειράς iPhone XS, αλλά η Apple δεν φαίνεται να έχει επιδιορθώσει τα τρωτά σημεία στην τελευταία έκδοση beta του iOS 12.1. Ευτυχώς, ωστόσο, όλα τα παραπάνω μπορούν εύκολα να αποφευχθούν απενεργοποιώντας την πρόσβαση στο Siri από την οθόνη κλειδώματος.
Οι ενδιαφερόμενοι χρήστες μπορούν να το κάνουν με πλοήγηση στο Ρυθμίσεις > Face ID & Passcode (αυτό είναι Ρυθμίσεις > Αγγίξτε ID & Passcode σε iPhone με Touch ID) και απενεργοποιώντας το Συρία Κάντε εναλλαγή στο μενού 'Να επιτρέπεται η πρόσβαση όταν είναι κλειδωμένο'.
Δημοφιλείς Αναρτήσεις