В операционной системе iOS 7.1.1 была обнаружена уязвимость, позволяющая злоумышленнику добраться до телефонной книги, минуя экран разблокировки и вообще не вводя пароля. «Ответственным» за дыру в безопасности является никто иной, как голосовой помощник Siri.

Проблему выявил житель Египта Шериф Хашим (Sherif Hashim) — нейрохирург по основному занятию и хакер по состоянию души. На видео ниже он демонстрирует процедуру доступа к списку контактов без ввода пароля:

Начинается всё с безуспешной попытки разблокировать iPhone 5s при помощи Touch ID, после чего устройство запрашивает цифровой пароль. Затем Хашим активирует Siri, пробует вызвать список контактов командой «Contacts» — вновь безуспешно. А дальше начинается самое интересное. После нажатия «Cancel» хакер командует «Call» — «Позвонить». «С кем Вы хотите поговорить?» — уточняет Siri. Когда после этого в текстовое поле вводится запрос «Call a», аппарат предлагает список абонентов на букву «A»… и нажатие «Other» внизу этого списка открывает полную версию телефонной книги, с возможностью звонить кому угодно.

Разумеется, эксплойт имеет серьёзные ограничения по применению. Так, злоумышленник должен иметь физический доступ к аппарату, сам смартфон должен управляться iOS 7.1.1, в опциях должен быть включён доступ к Siri с экрана блокировки, а доступ можно получить лишь к списку контактов. Также стоит отметить, что журналисты NBC, попытавшиеся повторить «взлом», не смогли добраться до телефонной книги — хотя и смогли совершать звонки, угадывая имена абонентов. С другой стороны, даже этого может оказаться вполне достаточно для серьёзных неприятностей. Кроме того, наши коллеги из CultOfMac не только с лёгкостью повторили все действия Хашима, но и выявили, что с таким же успехом можно использовать команды «Text» и «Email» (помимо «Call»).

Для рядовых пользователей решение проблемы элементарно: достаточно отключить доступ к Siri с экрана блокировки. В то же время не для всех это удобно, да и в целом существование подобной уязвимости, мягко говоря, не радует.

Apple, кстати, пока не озвучила каких-либо комментариев по этому поводу.

[NBC, CultOfMac]

Алексей Зубенко

В журналистике с 2006 года, тематикой IT занимаюсь с 2010. С того же времени живо интересуюсь продукцией и деятельностью Apple - одной из наиболее самобытных компаний нашего времени. Уверен, впереди у неё (и у нас) ещё много интересного, а потому стоит оставаться в теме. Чего и вам, дорогие читатели, желаю :)

Материалы

Нашел ошибку в тексте? Выдели ее и нажми Ctrl + Enter
  • Serge Safronov

    неделю назад выключил сири на экране блокировки — сильно надоедала О_о

  • Есть одно НО! Если ты хочешь добраться к телефонной книге чужего телефона, то нужно перебирать все имена которые как минимум 2 раза встречаются в ней, иначе он будет сразу звонить на номер, а не предлагать выбрать из списка.

  • Pingback: Уязвимость в в iOS 7 позволяет обойти экран блокировки()