Uma nova vulnerabilidade permite que atacantes acessem fotos, números telefônicos e emails de um Apple iPhone com iOS 12 instalado. A vulnerabilidade acontece exatamente quando o iPhone está bloqueado: ou seja, não é necessário desbloquear a tela do smartphone para acessar os dados sensíveis.
A ideia do golpe é realizar um processo bypass enganando a Siri
Segundo o "entusiasta” Jose Rodrigues, nota o The Hacker News, a vulnerabilidade bypass exige um processo complicado de 37 passos para ser realizada. Apesar da dificuldade e o tempo de acesso exigido ao smartphone, a falha permite o acesso em todos os iPhones com iOS 12, sejam o iPhone XS ou qualquer outro aparelho rodando o sistema.
Para funcionar, o iPhone atacado precisa ter a assistente Siri ativada, além do Face ID desabilitado ou “coberto” por algo físico — por exemplo, um esparadrapo. A ideia do golpe é realizar um processo bypass enganando a Siri e o recurso de acessibilidade VoiceOver, conseguindo acesso aos dados.
- Abaixo, você pode assistir um vídeo mostrando os passos do ataque:
Como impedir o ataque
Enquanto Rodrigues demonstrou como realizar o ataque, ele também ensinou como os usuários do iOS 12 podem se prevenir — vale a pena notar que a Apple ainda não enviou uma correção, então a versão iOS 12.1 beta ainda está com a brecha.
Para corrigir o problema, vá até as Configurações, Face ID e desabilite a função da Siri que se chama “Permitir acesso quando bloqueado”. Como o THN nota, obviamente, parte da experiência do iOS 12 será quebrada após bloquear esta função.
É esperado que a Apple envie uma correção para a vulnerabilidade nas próximas versões do iOS.
Fontes
