Az Apple új verziójú mobil operációs rendszerében akkor is hozzá lehet férni egyes adatokhoz, ha egyébként a telefont jelkóddal lezárták. A hibát nem egy szakember, hanem egy túl sokat várakozó spanyol taxisofőr fedezte fel.
A jelkód megadása nélkül férhetünk hozzá az iPhone adataihoz, ha azon a most ősszel kiadott, 12-es verziószámú iOS fut. Ehhez van még pár feltétel: a készüléken ki kell legyen kapcsolva az arcfelismerésen alapuló azonosítás, és a Siri virtuális asszisztens használata sem engedélyezett. A telefon adatait úgy lehet elolvasni, ha a türelmes próbálkozó fizikailag hozzáfér a készülékhez, majd következetesen 37 lépésnyi támadást végig visz rajta. A Siri digitális asszisztens mellett a vakok és a gyengén látok támogatására beépített VoiceOver szolgáltatást is használni kell – ez a funkció felolvassa a képernyő tartalmát, segíti a látássérültek tájékozódását.
A hibát nem egy biztonsági szakember, hanem egy spanyol taxisofőr, José Rodriguez fedezte fel, aki várakozás közben sok mindent kipróbál telefonján. A hobbi biztonsági szakember korábban is talált foltokat az Apple rendszerén, az erről készített videokat saját YouTube csatornáján publikálta, mi egy angol videót mellékelünk.
A sok türelmet igénylő műveletben a telefonkönyvben eltárolt személyek adataihoz lehet hozzáférni, ahogy a fotókat is meg lehet tekinteni. Az Apple védelmére legyen mondva, a támadást végignézni is fárasztó, nemhogy kivitelezni. A gyártó egyelőre nem orvosolta a hibát. A szakértők javaslata szerint lezárt üzemmódban ne engedélyezzük a Siri használatát, mindaddig, míg a gyártó nem orvosolja a hibát.
Az Amerikai Egyesült Államokban a rendőrségnek egyre-másra meggyűlt a baja a lezárt okostelefonokkal. Az amerikai sajtót nemrég járta be az a hír, hogy például az FBI egyszerűen a gyanúsított arca elé helyezte készülékét, az arcfelismerő funkció feloldotta a készüléket és így egyszerűen hozzáfértek a készülékben tárolt adatokhoz. Más esetekben korábban levett és adatbázisban tárolt ujjnyomat segítségével oldották fel a készüléket.
Forrás: The Hacker News