Apple continua a rilasciare aggiornamenti di iOS e il ricercatore spagnolo José Rodríguez continua a trovare nuovi modi per aggirare la sicurezza delle schermate di ogni versione.
L’obiettivo della settimana era iOS 12.1, rilasciato martedì scorso. Mercoledì, Rodríguez aveva pubblicato un video di YouTube che mostrava come la schermata di blocco poteva essere aggirata con l’aiuto di Siri e Facetime al fine di rivelare i numeri di telefono e gli indirizzi e-mail del dispositivo.
Oltre ad avere l’accesso fisico all’iPhone preso di mira, tutto ciò di cui un utente malintenzionato avrebbe bisogno è il numero di telefono dell’obiettivo (se non conosce il numero, può semplicemente chiedere a Siri “chi sono io?” dal telefono della vittima).
L’attaccante quindi potrebbe:
- Rispondere alla chiamata
- Avviare FaceTime dalla schermata del menu di chiamata
- Scorrere verso l’alto e attivare la modalità aereo
- Toccare immediatamente l’icona (…) (per iOS 12.1.1 scorrere verso l’alto sul pannello in basso)
- Toccare “Aggiungi persona”
- Toccare l’icona (+)
E … magia! Può far scorrere tutte le informazioni di contatto.
Giusto per essere un passo avanti rispetto al team di sicurezza di Apple, il metodo funziona anche sulla beta per il prossimo iOS 12.1.1.
I bypass della schermata di blocco di Rodríguez sono diventati una presenza fissa scomoda negli ultimi tempi.
Il più recente è stato solo due settimane fa, una schermata di blocco in iOS 12.0.1 che avrebbe consentito a un utente malintenzionato di accedere alle foto di un dispositivo.
Ironia della sorte, quell’aggiornamento includeva correzioni per due bypass precedenti che Rodríguez aveva pubblicizzato a settembre e che comprendevano contatti, e-mail, numeri di telefono e foto.
Ancora prima, lo stesso ricercatore aveva scoperto una serie di problemi di bypass della schermata di blocco risalenti al 2013.
Fino a quando Apple non correrà ai ripari, potete mitigare il difetto disabilitando l’accesso della schermata di blocco di VoiceOver di Siri: andate in Impostazioni → Siri e Cerca e disattivate Usa Siri quando bloccato.
Tuttavia una domanda sorge spontanea: perché Siri e la schermata di blocco dell’accesso non riescono ancora a convivere felicemente?
Potrebbe semplicemente essere che ci sia un’incompatibilità fondamentale nel loro scopo: una schermata di blocco dell’accesso e un accesso vocale semplificato per alcune funzioni, due cose intrinsecamente difficili da conciliare senza compromessi.
*Tratto dall’articolo Another day, another update, another iPhone lockscreen bypass sul blog Naked Security
Lascia un commento