Bypass da Senha do iOS12 dá acesso a Fotos e Contatos

Bypass da Senha do iOS12 dá acesso a Fotos e Contatos. O bypass da senha do Apple iOS 12 permite acesso não autorizados ignorem a senha do aparelho, expondo suas fotos e contatos.

A Apple pode se orgulhar de seu compromisso com a privacidade e segurança do usuário, mas não é invulnerável. Agora sabemos que há um bug na versão mais recente do iOS 12 e do iOS 12.1 beta que permite que os usuários ignorem sua senha e acessem contatos e fotos. Isso se aplica aos iPhones com e sem identificação de rosto. Não apenas sabemos sobre o bug em si, mas sabemos exatamente como explorá-lo.

O bug no iOS 12 da Apple permite que usuários não autorizados ignorem a senha do aparelho, expondo suas fotos e contatos.

O pesquisador independente José Rodriguez postou uma demonstração em um vídeo do YouTube, em espanhol, revelando como um invasor com acesso físico ao dispositivo de um usuário pode desbloquear parcialmente o conteúdo da pessoa desde que o Siri esteja ativado e o ID facial seja desativado ou coberto fisicamente.

O processo, divulgado dia 26 de setembro, envolve enganar a Siri, o recurso de leitor de tela VoiceOver da Apple e o aplicativo Notes. O vídeo também mostra que o método funciona em iPhones rodando o iOS 12.1 beta e o iOS 12, incluindo modelos que possuem segurança biométrica Face ID ou Touch ID.

No entanto, para aproveitar a vulnerabilidade, o iPhone de destino deve estar nas mãos do atacante para ele poder trabalhar. A vulnerabilidade permite que o invasor acesse imagens editando um contato e alterando a imagem associada a esse contato.

Embora a Apple tenha incorporado algumas medidas de segurança para evitar que isso aconteça, o vídeo abaixo mostra que Rodriguez descobriu uma maneira de contornar essas barreiras de segurança.

Embora o procedimento seja um pouco complexo e envolva mais de 30 etapas, um invasor dedicado pode facilmente explorar um dispositivo executando o iOS 12 ou superior usando o Siri para ativar a narração, usando outro dispositivo para chamar o dispositivo de destino e ir para as mensagens. Uma versão em inglês da demonstração de ataque também está disponível.

O atacante deve então passar por uma série de passos enquanto escuta as pistas de áudio da Siri até que eles finalmente possam rolar através das fotos e ver os contatos no dispositivo.

Aqueles que temem que seu dispositivo esteja vulnerável, a este e outros ataques, podem aumentar sua segurança desativando o Siri na tela de bloqueio acessando Configurações / ID e senha, rolando para baixo até a seção “Permitir acesso quando bloqueado” e certificando-se que a função Siri esteja Desativado.

Como é o procedimento ?

A Gadget Hacks detalhou o passo a passo do procedimento, então, para benefícios de nossos leitores, reproduzimos abaixo o publicado no site da Gadget hacks :

Ver todos os contatos e seus números e e-mails

  1. Se o ID do Rosto estiver desativado, você está pronto. Se estiver ativado, cubra a câmera da Face ID com fita adesiva. Se é um dispositivo Touch ID, você já está pronto para começar.
  2. Pressione e segure o botão lateral para ativar o Siri. Se for um dispositivo de ID de toque, basta pressionar o botão Início (home).
  3. Diga Siri para “ativado VoiceOver”.
  4. Clique no botão lateral para adormecer o dispositivo.
  5. Use outro iPhone e realize uma chamada ou o FaceTime ligue para o iPhone desejado.
  6. Toque uma vez no ícone “Mensagem” na tela de chamadas recebidas e, em seguida, toque duas vezes em qualquer lugar da tela.
  7. Toque uma vez em “Personalizar” na lista exibida e, em seguida, toque duas vezes em qualquer lugar da tela.
  8. Toque uma vez no ícone de adição (+) no canto superior direito para realçá-lo.
  9. No outro iPhone, envie um texto ou iMessage para o iPhone de destino.
  10. Logo que a notificação aparecer no iPhone de destino, toque duas vezes em qualquer lugar da tela para selecionar o ícone de mais (+) realçado abaixo dela.
  11. Espere até que a tela fique branca e a notificação desapareça.
  12. Toque uma vez na tela para destacar uma opção invisível.
  13. Deslize para a esquerda várias vezes na tela até ouvir o VoiceOver dizer “Cancelar”. Um botão invisível será destacado sob o entalhe, quase imperceptível. É mais óbvio em um dispositivo Touch ID.
  14. Toque duas vezes em qualquer lugar da tela para selecionar a opção “Cancelar”.
  15. Toque uma vez no ícone de números no teclado e, em seguida, toque duas vezes em qualquer lugar na tela.
  16. Toque uma vez em qualquer número na linha superior do teclado e, em seguida, toque duas vezes em qualquer parte da tela. Agora você deve ver todos os contatos que começam com esse número. Você pode usar 3D Touch neles para ver mais detalhes de contato.

Continue para ver as fotos na biblioteca de fotos

  1. Se você vir um botão de informações (i) ao lado de qualquer um dos contatos, toque uma vez nele e, em seguida, toque duas vezes em qualquer lugar da tela.
  2. Pressione e segure o botão lateral para ativar o Siri. Se for um dispositivo de ID de toque, basta pressionar o botão Início.
  3. Diga ao Siri para “desativar o VoiceOver”.
  4. Deslize para cima a partir da parte inferior da tela para sair da tela do Siri de volta à página de contato. Se for um dispositivo de ID de toque, basta clicar no botão Início uma vez.
  5. 3D Touch no ícone do contato na parte superior da página de informações. Um menu aparecerá com opções como “Chamar”, “Mensagem” e “Adicionar ao contato existente”.
  6. Toque único em “Adicionar ao contato existente”. Agora você deve poder ver todos os contatos no iPhone em ordem, ao contrário de antes, quando você só podia ver os contatos com base no número digitado.
  7. Toque uma vez em qualquer contato.
  8. Toque uma vez no ícone de foto do contato, onde ele diz “adicionar foto”, e toque uma vez em “Escolher foto” no pop-up. Você não poderá realmente ver fotos neste momento.
  9. Pressione e segure o botão lateral para ativar o Siri. Se for um dispositivo de ID de toque, basta pressionar o botão Início.
  10. Diga Siri para “ativado VoiceOver”.
  11. Deslize para cima a partir da parte inferior da tela lentamente até sentir uma vibração, para sair da tela Siri de volta para a página de fotos (que se parece com a página de contato). Se for um dispositivo de ID de toque, basta clicar no botão Início uma vez.
  12. Deslize para a direita várias vezes na tela até ouvir “Camera Roll”.
  13. Toque duas vezes em qualquer lugar da tela para selecionar a opção “Camera Roll”.
  14. Toque uma vez na tela onde uma imagem normalmente apareceria.
  15. Toque duas vezes em qualquer lugar da tela para selecionar a foto destacada.
  16. Deslize para a esquerda ou para a direita várias vezes na tela até destacar a opção “Escolher foto”.
  17. Pressione e segure o botão lateral para ativar o Siri. Se for um dispositivo de ID de toque, basta pressionar o botão Início.
  18. Diga ao Siri para “desativar o VoiceOver”.
  19. Deslize para cima a partir da parte inferior da tela para sair da tela do Siri de volta à página de contato. Se for um dispositivo de ID de toque, basta clicar no botão Início uma vez.
  20. Toque uma vez em “editar” na foto do contato e escolha “Editar foto” no menu.
  21. Agora você pode ver a foto em alta resolução, embora com um preto translúcido ao redor do círculo principal do seletor de imagens.

Conforme observado acima nas instruções, para ver a lista de contatos completa em ordem, bem como as fotos no dispositivo, você precisará ver o botão “i” ao lado de um contato na Etapa 16. Se “i” não estiver presente, você só terá acesso às listas de contatos com esse número em particular.

fonte: SC Magazine  &  Gadget Hacks & TechWorm

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. China implantou chip em motherboards que deixam dados vulneráveis
  2. Milhões de dados comprometidos por Startup de Inteligência

Deixe sua opinião!