iOS 12: un bug permetterebbe l’accesso a foto e contatti

Un nuovo bug di sicurezza presente all’interno di iOS 12 permetterebbe l’accesso a foto e contatti tramite una serie di operazioni da eseguire su iPhone.

Questo bug è chiaramente presente in iOS 12 ma non c’è da allarmarsi. Innanzitutto perchè affinché venga sfruttato, è necessario che il “malintenzionato” o il “curioso” sia fisicamente in possesso del dispositivo iOS, e poi perché bisognerà avere bene a mente le procedure da eseguire per poter accedere e un secondo dispositivo a disposizione.

Insomma, non si tratta di bug sfruttabili da tutti ma solo dagli utenti esperti. In ogni caso, sono stati realizzati due video che mostrano due vie per poter sfruttare queste vulnerabilità, ora disponibili su YouTube.

Scoperti da Jose Rodriguez, gli exploit sono piuttosto complicati e per essere sfruttati richiedono più passaggi che coinvolgono Siri, VoiceOver e, nel secondo caso, l’app Note. Entrambi i metodi funzionano sugli iPhone che eseguono l’ultima versione di iOS, inclusi i modelli con Face ID e quindi non solo quelli con Touch ID.

Il primo dei due video pubblicati sul canale YouTube di Rodriguez in lingua spagnola spiega una vulnerabilità che consentirebbe a un potenziale aggressore di aggirare i protocolli di sicurezza Face ID e Touch ID.

Dimostrando il processo, Rodriguez attiva VoiceOver attraverso una richiesta con Siri. Poi chiama l’iPhone da un altro dispositivo e tocca il pulsante per rispondere con messaggio in modo da creare un messaggio di testo personalizzato. Una volta aperta l’interfaccia dei messaggi, Rodriguez seleziona con il VoiceOver il pulsante per l’aggiunta di un contatto, quindi utilizza il dispositivo secondario per inviare un messaggio Telegram all’iPhone, facendo apparire quindi una notifica. Ed è proprio il doppio tocco sul display mentre è visualizzata la notifica ed è attivo il VoiceOver a causare un conflitto nell’interfaccia utente di iOS. Con lo schermo diventato vuoto, Siri viene nuovamente attivato e rapidamente disattivato, senza eseguire comandi. Lo schermo resta vuoto, ma la casella di selezione del testo di VoiceOver è in grado di accedere e navigare nel menu dei Messaggi. Scorrendo indietro tra le opzioni disponibili e selezionando “Annulla”, Rodriguez recupera la schermata dei messaggi, nella quale può aggiungere un nuovo destinatario. In questo modo, vengono visualizzati i numeri di telefono e i contatti selezionati di recente. Eseguendo poi il 3D Touch sull’avatar di contatto, dopo averlo aperto premendo sulla “i”, vengono visualizzate le varie opzioni. Selezionando “aggiungi a contatto esistente” viene visualizzato l’elenco completo dei contatti. Infine, Rodriguez recupera le foto attivando nuovamente VoiceOver e scorrendo verso il basso fino a “Rullino foto” su un menu utente che però non si vede nell’interfaccia ma dal quale è possibile riassegnare le foto contatto.

Il secondo video descrive il possibile bypass della schermata di blocco che, pur essendo di portata limitata e con molti meno rischi per la sicurezza, dimostra l’esistenza di un altro bug nel sistema operativo mobile di Apple, nella versione 12.

Rodriguez invoca di nuovo Siri, ma questa volta crea una nuova nota. Dopo aver aggiunto un’immagine alla nota, ripete il processo. Toccando l’immagine inserita nella seconda nota appare un’icona di condivisione multimediale che, quando selezionata, visualizza una UI vuota. A questo punto, Rodriguez chiede a Siri di abilitare VoiceOver e ottiene l’accesso a un menu invisibile contenente le opzioni di condivisione predefinite dell’utente come Telegram, Facebook, Mail, Instagram e via discorrendo.

Rodriguez ha confermato ad AppleInsider che il secondo dispositivo è necessario per eseguire il bypass del blocco schermo. Speriamo che Apple sia a conoscenza del problema e che lo risolva nell’ultima versione di iOS 12.1 che ora è in beta e che verrà rilasciato a breve. In ogni caso vi aggiorneremo non appena ne sapremo di più a riguardo.

Gli utenti che vogliono ridurre i rischi, possono minimizzare l’esposizione ai bug disabilitando l’accesso di Siri alla schermata di blocco in Impostazioni> Face ID e codice o Impostazioni> Touch ID e codice, sotto la voce “Consenti accesso se bloccato”. Il secondo attacco può essere vanificato abilitando la protezione tramite password per le note in Impostazioni> Note> Password.

Ricordiamo che Rodriguez in passato ha scoperto un certo numero di bypass della schermata di blocco nelle versioni precedenti di iOS, inclusa una falla relativa alla SIM in iOS 6.1.3.

HotAcquista iPhone 15 su Amazon!
News