Omijanie kodu blokady iPhone’a w najnowszym wydaniu iOS 12.1

Całkiem niedawno na blogu pojawiła się informacja, że w wyniku błędu znalezionego w systemie iOS, możliwe jest ominięcie zabezpieczeń blokady ekranu i uzyskanie częściowego dostępu do danych zgromadzonych na telefonie. Więcej na ten temat możecie przeczytać w tym wpisie.

Niestety już kilka godzin po opublikowaniu najnowszej poprawki dla urządzeń firmy Apple, Jose Rodriguez (ten sam, który odkrył podatność w iOS 12.0.1) znalazł[1] sposób na ominięcie kodu blokady urządzenia i uzyskanie dostępu do newralgicznych danych. Jak zostało to pokazane na poniższym filmie, wgląd do kontaktów nie wymaga wiedzy technicznej. Wszystko sprowadza się do wykonania kilku prostych czynności:

W odróżnieniu od poprzedniego ataku, w iOS 12.1 nie potrzebne jest włączone VoiceOver lub Siri. W momencie kiedy ktoś dzwoni z innego iPhone’a na telefon, którego zabezpieczenie ma być ominięte, atakujący może wybrać opcję wideorozmowy (FaceTime), a następnie dodać nowego rozmówcę. W tym momencie klikając ikonę „+” atakujący uzyskuje listę kontaktów oraz szczegółowe informacje o każdym z nich.

Jak widać luka ta wymaga jedynie znajomości numeru telefonu iPhone’a, który ma zostać zaatakowany oraz drugiego iPhone’a, dzięki któremu możliwe będzie zainicjowanie wideorozmowy FaceTime. Nie są to jednak rzeczy trudne do zdobycia, tym bardziej, ze przy włączonej Siri na atakowanym telefonie, możliwe jest wykonanie testowego połączenia (widocznego na początku filmu).

Prawdopodobnie w najbliższych dniach Apple wypuści drobną poprawkę, która naprawi ten błąd.

[1] https://thehackernews.com/2018/10/iphone-ios-passcode-bypass.html