براساس خبرهای منتشر شده، یک نقص امنیتی جدید در بخش قفل صفحه نمایش آیفون شناسایی شده است که امکان دسترسی مهاجمان به فهرست مخاطبین تلفنی، آدرس ایمیلها، شماره تلفنها و… را فراهم میسازد. این نقص ابتدا توسط یک محقق اسپانیایی کشف شد گفته میشود تا بهروزرسانی نسخه آخر iOS، یعنی iOS 13، اصلاحیه آن در دسترس عموم قرار نخواهد گرفت.
برپایه اطلاعات موجود، این نقص به یک مهاجم با دسترسی فیزیکی به آیفون آسیبپذیر اجازه میدهد رمزعبور احراز هویت قربانی را دور بزند. در حال حاضر این آسیبپذیری در نسخه آزمایشی (بتا) سیستمعامل شرکت اپل برای آیفون یعنی iOS 13 که به زودی منتشر خواهد شد نیز وجود دارد.
شیوه بهرهبرداری از این آسیبپذیری به این گونه است که ابتدا یک مهاجم (با دسترسی فیزیکی به دستگاه قربانی) با استفاده از یک دستگاه دیگر با آیفون آسیبپذیر تماس تصویری برقرار میکند. پس از دریافت تماس توسط دستگاه قربانی، مهاجم به جای پاسخ دادن به تماس، گزینه « custom» را انتخاب کرده و سپس تماس را با یک پیغام متنی پاسخ میدهد.
در این مرحله، مهاجم با بهرهبرداری از قابلیت voice-over اپل که به کاربران اجازه درخواست از سیری به وسیله فرمان صوتی را میدهد، استفاده کرده و با انتخاب «ارسال پیام به...» وارد فهرست مخاطبین شود. این کار به مهاجم اجازه میدهد به راحتی فهرست مخاطبین و اطلاعات آنها را مشاهده و جمعآوری کند.
خوشبختانه از آنجایی که مهاجم باید برای اجرای چنین حملاتی بهصورت فیزیکی به دستگاههای آسیبپذیر دسترسی داشته باشند، احتمال بهرهبرداری عمومی و گسترده از آن بسیار دشوار است. همچنین احتمال بهرهبرداری از این آسیبپذیر تنها در شرایطی که سیر فعال باشد، امکانپذیر است.
توضیحات بیشتر در:
- iPhone iOS 13 Lockscreen Bypass Flaw Exposes Contacts