Продемонстрирован новый способ обхода пароля в iOS 12
01.10.2018
В версии "яблочной" операционной системы iOS 12 обнаружена уязвимость, позволяющая обойти пароль любой сложности и получить доступ к конфиденциальным данным владельца мобильного устройства, в том числе фотографиям и списку контактов в адресной книге.
Процесс эксплуатации проблемы довольно сложный и предполагает использование Siri, службы VoiceOver и приложения "Заметки" (Notes). Метод работает на смартфонах iPhone с версией ОС iOS 12, включая модели с поддержкой биометрических систем Face ID или Touch ID.
Для обхода механизмов безопасности Face ID и Touch ID злоумышленнику потребуется не только иметь физический доступ к устройству (хотя бы на краткое время), но и знать номер телефона жертвы.
Для обхода пароля в iOS 12 необходимо вызвать Siri с экрана блокировки и попросить ассистента активировать службу VoiceOver. Далее нужно позвонить на целевой iPhone с другого устройства и в момент вызова на взламываемом гаджете выбрать ответ сообщением и нажать кнопку "+". В случае, если служба VoiceOver активирована, отправка сообщения на смартфон жертвы вызовет системную ошибку, в результате злоумышленник сможет получить доступ к интерфейсу сообщений, списку последних набранных контактов и просмотреть подробную информацию о них, нажав кнопку "і".
Уязвимость была обнаружена специалистом по безопасности Хосе Родригезом (Jose Rodriguez). Эксперт опубликовал два видео, демонстрирующих процесс эксплуатации проблемы. На данный момент уязвимость остается неисправленной.
