Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
sergio115
6 лет назад

Уязвимость в Apple iOS VoiceOver позволяет получить доступ к чужим фото.

image.png

Исследователь Хосе Родригес (Jose Rodriguez) нашел способ обхода экрана блокировки iOS с целью получения доступа к личной информации. Этот метод позволяет просматривать адресную книгу и все фотографии пользователя. Напомню, что проблема связана с функцией VoiceOver (режим для людей с дефектами зрения, в котором телефон при нажатии зачитывает вслух отображаемую на экране информацию).

Теперь издание Apple Insider сообщило, что Родригес продолжил «копать» и обнаружил еще одну проблему, сопряженную с VoiceOver. Эксплуатацию бага он продемонстрировал в видеоролике, который можно увидеть ниже.

На этот раз атакующему нужно позвонить на номер жертвы (если номер жертвы неизвестен хакеру, его можно узнать у ассистента Siri) и выбрать на целевом устройстве опцию Answer by SMS, то есть ответить на звонок текстовым сообщением. Выбрав кастомное сообщение в качестве ответа, злоумышленник должен набрать произвольный текст в предложенном поле и, главное, попросить Siri активировать VoiceOver.

После останется лишь выбрать значок камеры и два раза нажать на экран, одновременно с этим вызывая Siri. Судя по всему, именно на этом этапе возникает некий системный конфликт. Хотя после этого атакующий увидит лишь черный экран, баг фактически сработал и, как хорошо видно в ролике, доступ к фотографиям пользователя уже получен. Так, свайп влево открывает доступ к Photo Library, а выбор фото и двойное нажатие возвращают атакующего на экран Messages. В итоге злоумышленник может не только просматривать изображения жертвы, но и пересылать их себе.

По словам исследователя, проблема проявляется на всех актуальных моделях iPhone, включая X и XS, работающих под управлением новейшей iOS 12.0.1. Обнаруженную Родригесом проблему, скорее всего, устранят при ближайшем обновлении системы.

Чтобы защитить устройство от эксплуатации подобных уязвимостей, достаточно отключить Siri на экране блокировке («Настройки → Face/Touch ID и пароль → Siri») или как минимум отключить ответ сообщением (там же).

Источник: https://xakep.ru/2018/10/16/one-more-voiceover-bypass/

0
0.117 GOLOS
0
Ответить
На Golos с October 2018
Комментарии (1)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io