Find My iPhone в числе ключевых защитных функций iOS. Именно этот модуль в случае кражи/утери iPhone сообщает серверу iCloud про местоположение телефона, позволяет удаленно стереть все данные телефона или заблокировать аппарат. Закономерно, что работать система должна как часы, но нет. Несколько простейших манипуляций, и хваленая защитная стена Find My iPhone падает — вот такой нехороший глюк iOS.
Уязвимость обнаружил Бредли Вильямс (Bradley Williams), незамедлительно поделившись информацией с подписчиками своего YouTube канала. Механика отключения Find My iPhone без ввода пароля Apple ID (с последующим удалением аккаунта и установкой нового) предельно проста и требует только доступа к системным настройкам. То есть ей подвержен любой аппарат на iOS 7 с не активированной защитой паролем.
Отключается Find My iPhone так:
- Зайдите в меню iCloud системных настроек.
- Заблокируйте-разблокируйте iPhone.
- Вернитесь в меню Настройки и снова зайдите в iCloud.
- Откройте меню Уч.запись, введите вместо скрытого звездочками пароля произвольные символы и подтвердите нажатием “Готово”.
- Проигнорируйте ошибку и удалите описание “iCloud”. Когда поле будет пустым, нажмите “Готово”. Система применит изменения.
- Пролистайте настройки iCloud, функция “Найти iPhone” (Find My iPhone) отключена.
- Опционально можно удалить учетную запись iCloud снова без ввода пароля Apple ID, а затем ввести любую другую.
Демонстрация уязвимости Вильямсом на видео:
Простота, с которой можно разрушить систему безопасности iOS 7 очень настораживает. Уязвимость лишает пользователя возможности удаленно очистить данные или заблокировать устройство, но только при условии, что новый “владелец” успеет стереть учетную запись iCloud. Пароль на экране блокировки не скомпрометирован — его обойти невозможно. Кроме того, с iOS 7.1 beta 5 (последней на данный момент бета-версии разрабатываемой прошивки) трюк уже не проходит.
Подведем итоги:
- Apple знает про существование уязвимости (мало верится, что ее случайно устранили в iOS 7.1 beta 5).
- У вас на телефоне/планшетнике в обязательном порядке должен быть установлен пароль. Больше рекомендаций по безопасности в этой статье.
- Поклонникам джейлбрейка, не намеренным обновляться на iOS 7.1, стоит включить пароль на доступ без временной отсрочки либо задействовать Touch ID — вы все время будете в зоне риска.