O investigador de segurança Jose Rodriguez publicou um vídeo a mostrar uma vulnerabilidade bastante grande no vindouro iOS 13. Rodriguez mostra como é possível aceder aos contactos do iPhone passando por cima de da autenticação por código de segurança. Vê o vídeo
Como podes ver, Rodriguez utilizou alguns passos para conseguir chegar às informações de contacto do iPhone. Não foi necessário colocar o código de segurança nem utilizar a impressão digital, o iOS 13 deixou Rodriguez passar.
Como funciona esta vulnerabilidade
Rodriguez começa por receber uma chamada de FaceTime e recusando-a, utilizando a opção de responder por mensagem. De seguida, o investigador utilizou a Siri para ativar a função VoiceOver. Esta ferramenta faz parte da acessibilidade e foi criada para ajudar invisuais ou utilizadores com problemas de visão a interagir.
O VoiceOver essencialmente descreve o que está a acontecer na interface e guia o utilizador pela mesma, além de ler o texto que aparece no ecrã. De seguida, Rodriguez desativa o VoiceOver e abre a lista de contactos, como se fosse mandar uma mensagem.
O iPhone mostra então os contactos, com a possibilidade de abrir cada um e ver todos os detalhes possíveis sobre os mesmos. Até é possível adicionar contactos novos ou alterar existentes. Contudo, as fotografias do iPhone continuam protegidas (ao menos isso).
Rodriguez enviou o vídeo a mostrar vulnerabilidade em julho
A verdade é que Rodriguez já tem algum histórico a expor vulnerabilidades da Apple. O ano passado, o investigador descobriu uma falha semelhante no iOS 12.1. Essa era ainda mais grave pois permitia acesso às fotografias do utilizador.
Em relação a este ano, Rodriguez afirma que enviou o vídeo da falha à Apple em julho. Contudo, a versão mais recente do iOS 13 Gold Master (versão para programadores) ainda contém essa falha. Esperemos que a Apple tome conhecimento e corrija esta e outras vulnerabilidades antes do lançamento final.
Editores 4gnews recomendam:
- Simjacker: este hack consegue infiltrar-se no teu telemóvel com apenas uma SMS!
- Xiaomi diz que críticas ao Redmi K20 (Mi 9T) foram um ataque organizado
- Vivo NEX 3: mais imagens reais confirmam design de sonho e dupla câmara pop-up!