Категория > Новости > Уязвимость в Apple iOS VoiceOver позволяет получить доступ к чужим фото - «Новости»
Уязвимость в Apple iOS VoiceOver позволяет получить доступ к чужим фото - «Новости»17-10-2018, 03:00. Автор: Клара |
"); }else{ $('#mpu1-desktop').remove(); console.log('mpu1-desktop removed'); } }); Всего неделю назад мы писали о том, что исследователь Хосе Родригес (Jose Rodriguez) нашел способ обхода экрана блокировки iOS с целью получения доступа к личной информации. Тот метод позволял просматривать адресную книгу и все фотографии пользователя. Напомню, что проблема была связана с функцией VoiceOver (режим для людей с дефектами зрения, в котором телефон при нажатии зачитывает вслух отображаемую на экране информацию). Теперь издание Apple Insider сообщило, что Родригес продолжил «копать» и обнаружил еще одну проблему, сопряженную с VoiceOver. Эксплуатацию бага он продемонстрировал в видеоролике, который можно увидеть ниже. На этот раз атакующему нужно позвонить на номер жертвы (если номер жертвы неизвестен хакеру, его можно узнать у ассистента Siri) и выбрать на целевом устройстве опцию Answer by SMS, то есть ответить на звонок текстовым сообщением. Выбрав кастомное сообщение в качестве ответа, злоумышленник должен набрать произвольный текст в предложенном поле и, главное, попросить Siri активировать VoiceOver. После останется лишь выбрать значок камеры и два раза нажать на экран, одновременно с этим вызывая Siri. Судя по всему, именно на этом этапе возникает некий системный конфликт. Хотя после этого атакующий увидит лишь черный экран, баг фактически сработал и, как хорошо видно в ролике, доступ к фотографиям пользователя уже получен. Так, свайп влево открывает доступ к Photo Library, а выбор фото и двойное нажатие возвращают атакующего на экран Messages. В итоге злоумышленник может не только просматривать изображения жертвы, но и пересылать их себе. По словам исследователя, проблема проявляется на всех актуальных моделях iPhone, включая X и XS, работающих под управлением новейшей iOS 12.0.1. Обнаруженную Родригесом проблему, скорее всего, устранят при ближайшем обновлении системы. Чтобы защитить устройство от эксплуатации подобных уязвимостей, достаточно отключить Siri на экране блокировке («Настройки -> Face/Touch ID и пароль -> Siri») или как минимум отключить ответ сообщением (там же). Перейти обратно к новости |