В операционной системе iOS 7.1.1 была обнаружена уязвимость, позволяющая злоумышленнику добраться до телефонной книги, минуя экран разблокировки и вообще не вводя пароля. «Ответственным» за дыру в безопасности является никто иной, как голосовой помощник Siri.
Проблему выявил житель Египта Шериф Хашим (Sherif Hashim) — нейрохирург по основному занятию и хакер по состоянию души. На видео ниже он демонстрирует процедуру доступа к списку контактов без ввода пароля:
Начинается всё с безуспешной попытки разблокировать iPhone 5s при помощи Touch ID, после чего устройство запрашивает цифровой пароль. Затем Хашим активирует Siri, пробует вызвать список контактов командой «Contacts» — вновь безуспешно. А дальше начинается самое интересное. После нажатия «Cancel» хакер командует «Call» — «Позвонить». «С кем Вы хотите поговорить?» — уточняет Siri. Когда после этого в текстовое поле вводится запрос «Call a», аппарат предлагает список абонентов на букву «A»… и нажатие «Other» внизу этого списка открывает полную версию телефонной книги, с возможностью звонить кому угодно.
Разумеется, эксплойт имеет серьёзные ограничения по применению. Так, злоумышленник должен иметь физический доступ к аппарату, сам смартфон должен управляться iOS 7.1.1, в опциях должен быть включён доступ к Siri с экрана блокировки, а доступ можно получить лишь к списку контактов. Также стоит отметить, что журналисты NBC, попытавшиеся повторить «взлом», не смогли добраться до телефонной книги — хотя и смогли совершать звонки, угадывая имена абонентов. С другой стороны, даже этого может оказаться вполне достаточно для серьёзных неприятностей. Кроме того, наши коллеги из CultOfMac не только с лёгкостью повторили все действия Хашима, но и выявили, что с таким же успехом можно использовать команды «Text» и «Email» (помимо «Call»).
Для рядовых пользователей решение проблемы элементарно: достаточно отключить доступ к Siri с экрана блокировки. В то же время не для всех это удобно, да и в целом существование подобной уязвимости, мягко говоря, не радует.
Apple, кстати, пока не озвучила каких-либо комментариев по этому поводу.