Вчера в сети появилось видео, предположительно демонстрирующее уязвимость в iOS 9.3.1, которая позволяет любому получить доступ к фотографиям и контактам на заблокированном iPhone без ввода пароля.

Видео на YouTube, загруженное Хосе Родригесом и впервые замеченное изданием The Daily Dot, показывает, как пользователь выполняет поиск через Siri, а затем совершает ряд относительно простых действий, одно из которых включает 3D Touch, что ограничивает применение эксплойта устройствами iPhone 6s и 6s Plus.

Процедура начинается с вызова Siri на заблокированном телефоне путем удержания кнопки «Домой» или использования функции «Привет, Siri», а затем просьбы к персональному ассистенту выполнить поиск в Twitter. Когда полученные результаты включают контактные данные, такие как адрес электронной почты, выполняется жест 3D Touch по контактной информации, чтобы вызвать меню «Быстрые действия». Выбор пункта «Добавить к существующему контакту» открывает список контактов iPhone. Выбрав контакт и решив добавить фотографию к записи, можно также получить свободный доступ к фототеке телефона.

Эта уязвимость применима только в том случае, если владелец iPhone ранее предоставил Siri разрешение на доступ к информации учетной записи Twitter, а также к контактам или фотографиям – операции, требующие подтверждения владения устройством с помощью пароля или Touch ID. Кроме того, если iPhone вышел из льготного периода использования Touch ID, перед использованием Siri все равно требуется ввести пароль.

Пользователи, обеспокоенные этой уязвимостью, могут защитить себя, отключив доступ Siri к Twitter и фотографиям. На своем устройстве перейдите в «Настройки» -> «Конфиденциальность» -> «Twitter», и если там указана Siri, отключите ее доступ. Аналогично, в «Настройки» -> «Конфиденциальность» -> «Фото», переведите любое упоминание доступа Siri в положение «Выкл.». Чтобы отозвать доступ Siri к вашим контактам, потребуется более радикальное действие – отключение активации Siri с экрана блокировки. Для этого перейдите в «Настройки» -> «Touch ID и код-пароль» и отключите переключатель Siri.

Apple выпустила iOS 9.3.1 для общественности на прошлой неделе, что стало первым обновлением iOS 9 с момента выхода iOS 9.3 21 марта. iOS 9.3.1 вышла чуть более чем через неделю после запуска iOS 9.3 и устранила серьезную проблему с крахом веб-ссылок, затронувшую многих пользователей iOS.