iOS 9.3.1: vulnerabilità consente accesso a Foto e Contatti su iPhone 6S e 6S Plus [AGGIORNATO]

iOS 9.3.1: vulnerabilità consente accesso a Foto e Contatti su iPhone 6S e 6S Plus [AGGIORNATO]

Una falla nella sicurezza di iOS 9.3.1 consente di accedere ai contatti e alle foto anche in presenza di iPhone 6 e iPhone 6S protetti da password sfruttando l'assistente digitale Siri e il 3D Touch. In attesa di un fix, è possibile aggirare il problema intervenendo sulle impostazioni della privacy.

di pubblicata il , alle 16:01 nel canale Apple
AppleiPhone
 

AGGIORNAMENTO 6 aprile: Apple, dopo aver ammesso l'esistenza del bug, ha provveduto a rilasciare nelle scorse ore un apposito fix. Ulteriori dettagli QUI.

Una nuova falla nella sicurezza del sistema operativo iOS 9.3.1 mette a rischio informazioni personali memorizzate negli smartphone iPhone 6S e iPhone 6S Plus, consentendo di accedere alle rubrica dei contatti e alla libreria foto tramite l'assistente vocale Siri, anche se lo smartphone è bloccato e protetto da passcode o touchID. La falla è stata recentemente segnalata in rete da un utente che ha documentato con un eloquente video quanto affermato. Possiamo confermare di aver personalmente accertato la veridicità di quanto testimoniato utilizzano un iPhone 6S aggiornato ad iOS 9.3.1.

Come è evidente dal filmato, anche senza inserire il passcode, si ha la possibilità di raggiungere la rubrica contatti e la libreria foto: la falla sfrutta la funzione di ricerca di Siri che, anche con iPhone sbloccato, permette di effettuare ricerche su Twitter, e la funzione del 3D Touch, come noto presente esclusivamente su iPhone 6S e iPhone 6S Plus. Per replicare quanto mostrato nel filmato è sufficiente seguire i seguenti passaggi: 

  • Attivare Siri con la pressione prolungata del tasto home o con il comando vocale "Hey Siri"
  • Chiedere a Siri di effettuare una ricerca su Twitter con il comando "Cerca su Twitter" 
  • Quando Siri chiede cosa cercare, impartire il comando "@gmail" (pronunciando "chiocciola gmail) o una qualsiasi altra mail partendo da "@" (es. @yahoo, @outlook, etc.)
  • Nella lista dei risultati trovare un tweet con l'indirizzo mail completo
  • Esercitare una pressione prolungata sull'indirizzo sfruttando il 3D Touch per far apparire il menu constestuale riportato di seguito: 

Twitter Siri

  • Selezionando l'opzione "Aggiungi a contatto esistente" si avrà accesso all'intera lista contatti memorizzati nello smartphone ed ogni scheda contatto consentirà di accedere alle libreria foto tramite l'opzione che permette di modificare le foto del profilo. Il tutto - da ricordare - sempre con lo smartphone che non è mai stato sbloccato inserendo il passcode, né mediante il riconoscimento dell'impronta digitale. 

Pre-condizioni e  fix temporaneo

La falla nella sicurezza appena descritta è indubbiamente molto fastidiosa, anche perché stride nettamente con l'attenzione per gli aspetti della sicurezza e della privacy più volte ribaditi da Apple, in tempi recenti con casi che hanno avuto un grande eco mediatico. Al tempo stesso, è corretto ricordare che il problema si determina solo se l'utente ha precedentemente accordato a Siri l'accesso a Twitter e alle libreria foto tramite le impostazioni della privacy di iOS.

Il fix temporaneo scaturisce di conseguenza: in attesa di una soluzione definitiva, per quanto riguarda l'accesso indesiderato alle Foto, è possibile seguire i percorsi Impostazioni > Privacy > Twitter e Impostazioni > Privacy > Foto e revocare in entrambe le sezioni il permesso accordato a Siri (nota: Siri potrebbe non figurare nel primo, ma intervenendo nel secondo si ottiene lo stesso risultato). Più drastico il fix provvisorio che impedisce l'accesso ai contatti, in tal caso è opportuno disattivare del tutto Siri nella lock screen: Impostazioni > TouchID e Codice > Consenti Accesso se bloccato > Siri > disattivare l'opzione.

E' chiaro che si tratta di un fix decisamente drastico, che elimina funzioni utili in determinati contesti. Si attende quindi una correzione ufficiale della falla di sicurezza che, pur non essendo così intuitiva da sfruttare, mette potenzialmente a rischio numerosi iPhone. 

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
adapter05 Aprile 2016, 16:05 #1
Azz...Il telefono ideale per FBI che cercava di sbloccare il famoso 5C dei terroristi...
Korn05 Aprile 2016, 16:16 #2
9.3.1.1
gd350turbo05 Aprile 2016, 16:24 #3
Peccato non funzioni online, sai te che bel "the fappening" che ci veniva !
mizam05 Aprile 2016, 16:53 #4
Hai vinto tu!
dooooc05 Aprile 2016, 18:35 #5
Grandissima cazzata. iPhone se chiedi di cercare in Twitter ti risponde che prima devi sbloccarlo provato con 6 e 6S 9.3.1 Falsi articoli per veri click 👍🏻
inited05 Aprile 2016, 20:11 #6
Originariamente inviato da: dooooc
Grandissima cazzata. iPhone se chiedi di cercare in Twitter ti risponde che prima devi sbloccarlo provato con 6 e 6S 9.3.1 Falsi articoli per veri click 👍🏻
Corretto, su un 6S Plus sembra funzionare finché non ti rendi conto che stai premendo il tasto home con il dito abilitato al TouchID e quindi si sblocca in automatico. Usando un altro dito richiede di sbloccarlo con codice o TouchID e, non ricevendo questo input, non effettua la ricerca.
trattidigitali06 Aprile 2016, 08:36 #7

NOTIZIA FALSA, Magari prima verificate prima di pubblicare

Ho appena verificato se chiedo a siri di fare una ricerca su twitter mi risponde che devo prima sbloccare il telefono.
Io se fossi in voi cancellerei l'articolo.
testato su iphone 6s ios 9.3.1
recoil06 Aprile 2016, 08:39 #8
è bastato un fix server side trattandosi di Siri quindi la vulnerabilità non è più sfruttabile
DjLode06 Aprile 2016, 09:54 #9
Originariamente inviato da: dooooc
Grandissima cazzata. iPhone se chiedi di cercare in Twitter ti risponde che prima devi sbloccarlo provato con 6 e 6S 9.3.1 Falsi articoli per veri click 👍🏻


L'articolo era corretto quando è stato scritto, come dice recoil è bastato un fix lato server visto che Siri è totalmente online e si appoggia ai server Apple.
Provato ovviamente sul mio device.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^