Продемонстрирован новый способ обхода пароля в iOS 12

image

Теги: Apple, iOS 12, уязвимость, пароль

Процесс эксплуатации довольно сложный и предполагает использование Siri и службы VoiceOver.

В версии «яблочной» операционной системы iOS 12 обнаружена уязвимость, позволяющая обойти пароль любой сложности и получить доступ к конфиденциальным данным владельца мобильного устройства, в том числе фотографиям и списку контактов в адресной книге.

Процесс эксплуатации проблемы довольно сложный и предполагает использование Siri, службы VoiceOver и приложения «Заметки» (Notes). Метод работает на смартфонах iPhone с версией ОС iOS 12, включая модели с поддержкой биометрических систем Face ID или Touch ID.

Для обхода механизмов безопасности Face ID и Touch ID злоумышленнику потребуется не только иметь физический доступ к устройству (хотя бы на краткое время), но и знать номер телефона жертвы.

Для обхода пароля в iOS 12 необходимо вызвать Siri с экрана блокировки и попросить ассистента активировать службу VoiceOver. Далее нужно позвонить на целевой iPhone с другого устройства и в момент вызова на взламываемом гаджете выбрать ответ сообщением и нажать кнопку «+». В случае, если служба VoiceOver активирована, отправка сообщения на смартфон жертвы вызовет системную ошибку, в результате злоумышленник сможет получить доступ к интерфейсу сообщений, списку последних набранных контактов и просмотреть подробную информацию о них, нажав кнопку «і».

Уязвимость была обнаружена специалистом по безопасности Хосе Родригезом (Jose Rodriguez). Эксперт опубликовал два видео, демонстрирующих процесс эксплуатации проблемы. На данный момент уязвимость остается неисправленной.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.