iOS 12, de nieuwste versie van het mobiele besturingssysteem van Apple, die werd uitgebracht in het midden van september, wordt nu al geconfronteerd met een ernstig veiligheidsprobleem. Blijkbaar, iemand heeft een manier om te gaan rond het scherm te vergrendelen zekerheid om de toegang contact op met de eigenaar van het apparaat gevonden, e-mails, telefoonnummers, en foto's.
Het is in feite een kwestie van twee afzonderlijke bypass exploits opgegraven door een security-onderzoeker. Een daarvan is een lock screen bypass, en de andere is een Face ID Touch ID bypass.
Complex Bypasses in iOS 12 ontdekt
Natuurlijk, als iemand wil slotscherm iOS 12 te benutten, ze nodig hebben om te gaan door 12 stappen in een bepaalde volgorde om contacten weer, nummers en e-mails. Bovendien, er zijn 21 afzonderlijke stappen om foto's bekijken. Dit maakt een aanval moeilijk te verwezenlijken, maar wel een exclusieve individu met genoeg tijd, de set van instructies en fysieke toegang tot het apparaat recht zou zeker weer de moeite.
De twee ingewikkelde bypasses werden ontdekt door Jose Rodriguez, en ze zijn inderdaad moeilijk uit te voeren. De maatregelen hebben betrekking op de inzet van Siri, Apple's schermlezer VoiceOver-functie en de Notes app. Beide methoden zijn geldig op iPhones met iOS 12, modellen met Face ID of Touch ID inclusive.
De onderzoekers onthulde de exploits in twee afzonderlijke video's in het Spaans gedeeld op zijn YouTube-kanaal. In de eerste video wordt onthuld hoe een kwaadwillende gebruiker in staat om Face ID Touch ID beveiligingsprotocollen omzeilen zou zijn.
Eerste, Rodriguez activeert VoiceOver door een Siri verzoek. Dan, hij noemt het doelwit iPhone met een apart apparaat en, met de oproep dialoog weergegeven, tikt de “Bericht” knop om een aangepaste tekst bericht te maken, AppleInsider toegelicht.
Eenmaal in berichten, Rodriguez beweegt de tekst selector naar “+” symbool, aanduiding van de toevoeging van een contact, Vervolgens gebruikt de secundaire apparaat naar het doel iPhone tekst, wat leidde tot een kennisgeving te verschijnen. Dubbele het scherm op het doel iPhone te tikken terwijl de melding wordt weergegeven lijkt een conflict in de iOS gebruikersinterface veroorzaken.
Ook moet worden opgemerkt dat de onderzoeker bevestigd AppleInsider dat de tweede inrichting is vereist de bypass uit te voeren.
Met het scherm nu leeg, Siri is weer geactiveerd en snel uitgeschakeld. Het scherm blijft leeg, maar VoiceOver de tekst selectie box is schijnbaar in staat om toegang te krijgen tot en navigeren Berichten’ gebruikersmenu. Het jatten terug door de beschikbare opties en het selecteren “Annuleer” haalt de oorspronkelijke berichten scherm, waarbij een snode gebruiker een nieuwe ontvanger kan toevoegen. een getal te kiezen in het zachte toetsenbord brengt recent gekozen of ontvangen telefoonnummers en contacten die metadata gekoppeld aan dat nummer bevatten.
Van daaruit, Het is heel gemakkelijk om toegang te krijgen tot het adresboek met de voorwaarde dat een weergegeven contact of nummer presenteert een knop “i” of info naast de vermelding in kwestie.
uitschakelen VoiceOver, opnieuw via Siri, en tikken op de “ik” pictogram geeft informatie van een contactpersoon. Het uitvoeren van een 3D-Touch-bewegingen op de contactpagina avatar brengt opties “Telefoontje,” “Bericht,” “Aan bestaand contact toevoegen” of “Nieuwe contactpersoon.” Het selecteren van de laatste toont een volledige lijst met contacten.
Dan, Foto's worden opvraagbaar via VoiceOver inschakelen en naar beneden te vegen om filmrol op een onzichtbare gebruiker menu, onderzoekers verklaard.
De twee bypasses zijn nog in de nieuwste iOS moeten worden aangepakt 12.1 beta.
Om het risico te minimaliseren, gebruikers kunnen Siri screen lock toegang in te schakelen Instellingen> Face ID & toegangscode of Instellingen> Touch ID & toegangscode onder de “Toegang toestaan indien gesloten” titel. Wat betreft de tweede bypass – het kan worden omzeild door het inschakelen van wachtwoordbeveiliging voor Notes door te navigeren naar Instellingen> Notes> Wachtwoord.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: