Bug su iOS 11: foto esposte a tutti senza l'uso della password

Bug su iOS 11: foto esposte a tutti senza l'uso della password

Chiunque abbia il possesso il vostro iPhone o iPad può accedere alle foto presenti sfruttando un grossolano bug nella gestione delle foto di iOS 11

di pubblicata il , alle 15:41 nel canale Apple
AppleiPhoneiPadiOS
 

Il canale YouTube iDeviceHelp ha segnalato la presenza di un grossolano bug su iOS 11, con l'exploit che è possibile anche sulle ultime beta di iOS 11.1. Sfruttando la vulnerabilità si può accedere alle fotografie presenti sul dispositivo senza sbloccarlo e senza possedere la password. Per aggirare le implementazioni di sicurezza (Touch ID, password o PIN) è necessario che l'aggressore venga in contatto con il dispositivo e abbia il numero di telefono ad esso abbinato.

La fonte ha pubblicato un video (che trovate qui sopra) dopo aver informato Apple della presenza della vulnerabilità. Nei pochi minuti delle riprese si vede come la sicurezza di iPhone e iPad possa essere messa in ginocchio in pochi semplici passi e mostrare tutte le foto presenti. L'exploit può essere sfruttato su iOS 11.0.3 e funziona anche su iOS 11.1 beta, quindi Apple potrebbe essere al lavoro sulla sua correzione (che al momento non sembra di difficile implementazione).

L'iPhone vittima dell'attacco deve avere Siri, FaceTime Audio e iMessage attivi (di default lo sono): per ottenere l'accesso alle foto è sufficiente inviare una chiamata FaceTime audio al terminale vittima e premere su quest'ultimo il tasto per inviare una risposta via messaggio, digitando tre emoji. A questo punto bisogna lanciare Siri e chiedere all'assistente vocale di aprire un'app. Con l'altro iPhone lanciare un'altra chiamata e rispondere, questa volta, con un messaggio personalizzato.

Dopo questa nemmeno tanto intricata serie di operazioni si ottiene l'accesso alla barra inferiore con le app installate via App Store ma, ancora più interessante, l'accesso all'interfaccia grafica per inviare le foto presenti sul dispositivo, che diventano così visibili da parte di utenti terzi. Al momento in cui scriviamo Apple non ha mai parlato pubblicamente del bug ma è molto probabile che venga corretto prima del rilascio di iOS 11.1.

Questa vulnerabilità si aggiunge all'attacco di phishing simulato dal ricercatore di sicurezza Felix Krause, che ha scoperto un metodo per simulare i pop-up di iOS per intentare attacchi di phishing. Ne avevamo parlato a questo indirizzo.

20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
gd350turbo19 Ottobre 2017, 19:04 #1
Poverini, nessuno li difende ?
mindless19 Ottobre 2017, 19:15 #2
E io che ho letto anche un po' di articolo... ma chi si mette a fare sta roba...
retuor19 Ottobre 2017, 19:21 #3
Ma come fanno a scoprire questi bug?
Kehlstein19 Ottobre 2017, 21:16 #4
Originariamente inviato da: digmedia
tanto tempo da perdere per un momento di visibilità
tra l'altro ce ne sono anche per android ma probabilmente rendono meno e
quindi non se li fila praticamente nessuno, tipo il bug sul bt di un mese fa.


Che è anche grave considerato che potrebbe potenzialmente colpire con estrema facilità un numero imprecisato di modelli che, al solito, verranno abbandonati dal produttore.
gd350turbo21 Ottobre 2017, 07:41 #5
In risposta a coloro che dicono che gli android non vengono mai aggiornati...

È che se uno vuole aggiornamenti deve prendere un iPhone...

E non ho dovuto installare ROM cucinate, è apparso un banner con scritto :
Aggiornamento disponibile, clicca qui per aggiornare
Link ad immagine (click per visualizzarla)
theJanitor21 Ottobre 2017, 09:59 #6
finquando gli Xiaomi non li trovi al mediaworld di turno non potrai fare un paragone, rimarrà una nicchia sconosciuta alla massa che compra telefoni Android

purtoppo la situazione android è desolante, basti guardare la diffusione di Nougat dopo un anno e paragonarla a iOS 11 dopo un mese
gd350turbo21 Ottobre 2017, 10:17 #7
Originariamente inviato da: theJanitor
finquando gli Xiaomi non li trovi al mediaworld di turno non potrai fare un paragone, rimarrà una nicchia sconosciuta alla massa che compra telefoni Android

Come no ?
Ha uno snapdragon 835, come il samsung !
Ha la doppia fotocamera, come l'iphone !
Non si trovano a mediawordl ?
E allora ?
Delle cose tecnologiche/elettroniche che possiedo penso che al massimo lo 0,1% arrivi da mediaworld,se la gente non vuole comperare altrove, sarà un loro problema, non è necessaria una laurea per andare su gearbest e comprare uno xiaomi !
Originariamente inviato da: theJanitor
purtoppo la situazione android è desolante, basti guardare la diffusione di Nougat dopo un anno e paragonarla a iOS 11 dopo un mese


Poi il fatto che un produttore di nicchia abbia già aggiornato i suoi telefoni per correggere il bug krack, mentre altri molto più noti non lo abbiamo ancora fatto, questo si che deve far riflettere !
theJanitor21 Ottobre 2017, 10:17 #8
Originariamente inviato da: ambaradan74
IOS e Apple si paragonano con i megaTop di gamma, quindi Pixel, Nexus S8 e cosi via.



avevo un Nexus 5, ha avuto solamente due aggiornamenti di versione e sicurezza fino al 2016 (tre anni dall'uscita)
sorte analoga per Nexus 6 che non vedrà Oreo

e così saranno i Pixel

gli altri produttori per i top di gamma faranno anche gli stessi due aggiornamenti ma con tempi molto allungati

ios11 è arrivato anche all'iphone 5s che è più vecchio del mio amato Nexus

anche se ti limiti ai top di gamma la situazione è comunque nettamente a favore della mela
theJanitor21 Ottobre 2017, 10:22 #9
Originariamente inviato da: gd350turbo
Come no ?
Ha uno snapdragon 835, come il samsung !
Ha la doppia fotocamera, come l'iphone !
Non si trovano a mediawordl ?
E allora ?
Delle cose tecnologiche/elettroniche che possiedo penso che al massimo lo 0,1% arrivi da mediaworld,se la gente non vuole comperare altrove, sarà un loro problema, non è necessaria una laurea per andare su gearbest e compare uno xiaomi !


si vabbè, dai...... lo sai benissimo che noi non facciamo testo, se fosse così facile ed alla portata delle conoscenze di tutti, che implicano il fatto di sapere che esistono gli Xiaomi, la gente comprerebbe Xiaomi

in 3 anni di Nexus 5 ne avrò visto in giro al massimo altri 5, ed era comodamente venduto da google e fatto da LG, eppure per la gente comune non esiste

Poi il fatto che un produttore di nicchia abbia già aggiornato i suoi telefoni per correggere il bug krack, mentre altri molto più noti non lo abbiamo ancora fatto, questo si che deve far riflettere !


su quanto fanno schifo gli aggiornamenti a volte
non so se sulla 11.0.4 arriverà il fix, su Android è un terno al lotto
gd350turbo21 Ottobre 2017, 10:33 #10
Originariamente inviato da: theJanitor
si vabbè, dai...... lo sai benissimo che noi non facciamo testo, se fosse così facile ed alla portata delle conoscenze di tutti, che implicano il fatto di sapere che esistono gli Xiaomi, la gente comprerebbe Xiaomi

La gente non vuole pensare...
La gente trova più comodo guardare la televisione e fare quello che la pubblicità gli dice di fare, hai presente matrix ?
ecco noi siamo stati scollegati dal sistema, loro no !
Originariamente inviato da: theJanitor
in 3 anni di Nexus 5 ne avrò visto in giro al massimo altri 5, ed era comodamente venduto da google e fatto da LG, eppure per la gente comune non esiste

Io di xiaomi, non ne ho mai visti, quando lo mostro a qualcuno, mi dice: bello ma non è un... ( metti il nome che preferisci al posto dei puntini )
Per la gente esiste samsung ed esiste apple, al massimo un gruppetto di persone si è accorto di huawei, fine.
Ma ripeto che sono problemi loro !
Originariamente inviato da: theJanitor
su quanto fanno schifo gli aggiornamenti a volte
non so se sulla 11.0.4 arriverà il fix, su Android è un terno al lotto

Appunto per quello ho scelto un produttore che aggiorna periodicamente i suoi telefoni !

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^