Nul
En sårbarhed er opdaget i Apple iOS VoiceOver-funktion, som kan udnyttes af hackere til at få adgang til et offers fotos.
Som rapporteret af Apple Insider, det er en fejl, en lås skærm bypass muliggjort via VoiceOver-skærmlæser, bygger på en angriber, der har fysisk adgang til den valgte enhed.
Afsløret af iOS hacker Jose Rodriguez og efterfølgende vist på YouTube-video nedenfor, angreb kæden begynder med angriberen ringer offerets telefon. Dette kan gøres muligt ved at spørge Siri voice assistant at læse telefonnummer ciffer for ciffer, skal angriberen ikke i besiddelse af denne information.
Når et opkald er foretaget, angriberen skal derefter trykke på “Svar via SMS,” og vælg derefter “tilpas/custom”.
CNET: Apple-Ur Serie 4: jeg vandrede til 6 timer i træk, så du ville ikke nødt til at
Ord kan være input i denne fase, da de sætninger, er irrelevant, men det er afgørende for angriberen at spørge Siri til at slå VoiceOver på dette punkt. Ikonet for kamera skal vælges, og efter denne, angriberen skal dobbelt-trykke på skærmen, mens påberåber sig Siri gennem side-knapper på samme tid.
Det kan tage et par forsøg for at udløse en fejl, men når det lykkes, dette vil vise den valgte enhed er skærmen sort — som er potentielt resultatet af OS forvirring eller konflikt.
Hackeren kan derefter bruge denne fejl for at få adgang til elementer af brugergrænsefladen, som billedet bibliotek, som skal ellers være begrænset, uden at kende offeret ‘ s adgangskode, blot ved at stryge til venstre.
Når adgang er blevet vundet til fotoalbum, det er muligt at dobbelt-trykke på billeder for at vende tilbage til opkald, SMS-svar-boks og tilføj indhold til beskeden. Disse billeder kan derefter blive stjålet og sendt til angriberens personlige mobile enhed.
TechRepublic: Fotos: Apple iPhone-modeller gennem årene
Mens den faktiske grafik på hvert billede er skjult ved besked boks på dette punkt, kan de stadig være adgang til og set, efter at de er blevet tilføjet til beskeden.
Offentliggørelsen bekræftet, at den sårbarhed, som er til stede i den nuværende iPhone-modeller, der kører den nyeste version af det mobile styresystem, iOS 12.
Se også: iOS 12 mest irriterende bug endnu
I September, kendte Apple sikkerhed ekspert Patrick Wardle afslørede en zero-day-sårbarhed i Apple Mojave på dagen for en opdatering af OS ‘ s udgivelse, som, hvis de udnyttes, kan resultere i, at tyveri af brugernes kontaktoplysninger.
Den offentliggørelse, der blev fulgt på Wardle ‘ s tidligere resultater af en macOS fejl, der kunne føre til fuld system kompromis.
ZDNet har nået ud til at Apple og vil opdatere, hvis vi hører tilbage.
Tidligere og relaterede dækning
Apple MacOS Mojave nul-dag privatliv bypass sårbarhed afslørede Apple macOS sårbarhed baner vejen for, at systemet kompromis med et enkelt klik Apple løser iPhone crash bug, når Taiwan blev nævnt
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre
0