Уязвимост в iOS 13 ви позволява да се заобиколи паролата и да получите достъп до контактите

Тестова версия на обновяване на това и тестова, че почти със сигурност съдържа едни или други недостатъци, които трябва да се идентифицират в процеса на своето изследване тестировщиками. iOS 13 не е бил в този смисъл на изключение, тъй като съдържа няколко сериозни уязвимости, които позволяват да получат достъп до паролите и данните на банковите карти на потребители. Към изхода Golden Master-версии на актуализации на тези недостатъци фиксирани, но на тяхно място се появи поне една нова.

iOS 13 Golden Master

Изследовател в областта на кибер сигурността Хосе Родригес разказа за съществуването на iOS 13 уязвимост, експлоатация, която ви позволява да получите достъп до целия списък с контакти на жертвата, без да е необходимо да въвеждате парола или се проведе процедура за разпознаване на биометрични данни. Този бъг се крие във функцията VoiceOver, озвучивающей това, което в момента се случва на екрана, и изисква изпълнението на набор от няколко действия в определена последователност.

Уязвимост – липсата на операционна система или софтуер, който може да наруши целостта им или да доведе до неправилно функциониране на работоспособността. Като правило, на уязвимостта приема грешки, направени от разработчиците на етапа на програмиране, но това може да се дължи надеждни пароли, или липсата на подходящи правила за съхранението им.

Като заобикаляне на защитата на iOS 13

  • Първо трябва да се сдобият с iPhone жертвата с iOS 13 Golden Master или по-ранна бета събрание;
  • Да се обадя на него чрез FaceTime;
  • Не отговорите на повикване, изберете опцията за отговор на съобщение;

  • Да предизвика Siri и поиска да включи функцията VoiceOver, а след това да го изключите;
  • След това ще се отвори достъп до целия списък с контакти, съхранени в паметта на iPhone.

Подпишись на нашия чат в Telegram. Там ние непрекъснато обсъждаме това, което се случва с Apple.

По думите на самия Родригес, той открил тази уязвимост още в ранен етап на тестване на iOS 13 и вече оповещал Apple за нейното съществуване. Въпреки това, отбелязва изследователят, в Купертино, все още не са отговорили на неговия призив и продължава бъг, който продължава да съществува и досега. Може би разработчиците на компанията се считаше го малозначительным, а може би просто се отказват корекция до следващите версии на операционната система. В края на краищата, да причинят на някого реална вреда, той едва ли ще може.

Уязвимости в iOS

Въпреки, че това наистина е уязвимост, която вярно се отваря достъп до поверителна информация, прилагането му в реални условия е почти невъзможно. Дори ако някой хакер успее да се хване за устройство на жертвата, няма гаранции, че в него ще бъдат инсталирани уязвимата версия на iOS 13, да не говорим за това, че контактни данни на жертвата за обаждане от нападателя най-вероятно също няма да бъде. Всичко това прави изпълнението на такава атака, ако не невъзможно, то поне трудно приложени. Във всеки случай, лично на мен ми е трудно да си представи човек, който ще гони смартфон навън само за това, за да разберете нечий телефонен номер или адрес на електронна поща.