Uaktualnienie dla iOS 12
W iOS 12 i iPhone’ach z Touch ID nadal można obejść ekran blokady iPhone’a i oszukać Siri, aby dostać się do telefonu danej osoby. Obejście jest takie samo, jak we wcześniejszych wersjach systemu operacyjnego:
- Naciśnij przycisk home, używając palca niepowiązanego z uwierzytelnianiem odciskiem palca, co spowoduje przebudzenie Siri.
- Powiedz Siri: Cellular data.
Siri następnie otwiera ustawienia danych komórkowych, gdzie można wyłączyć dane komórkowe.
Jak to było wcześniej, każdy może to zrobić. Nie musi to być osoba, która „wyszkoliła” Siri.
Wyłączając również dane komórkowe, odcinasz dostęp Siri do sieci komórkowych. Pojawi się błąd z napisem „Siri niedostępne. Nie jesteś podłączony do Internetu.” Ale nie obchodzi cię ten błąd, bo już ominął ekran blokady iPhone’a. Jeśli urządzenie jest w sieci Wi-Fi, jednak, że łączność pozostanie.
Inne dziury prywatności pozostają dla urządzeń z Touch ID z iOS 12
Wciąż problem dla iPhone’ów, które mają Touch ID: Każdy może użyć Siri do przeczytania nowych/przeczytanych wiadomości tekstowych, wysłania wiadomości tekstowych, wysłania wiadomości e-mail i zobaczenia ostatniej rozmowy telefonicznej.
Aby to zrobić, ponownie poproś Siri o obudzenie się za pomocą palca niezwiązanego z uwierzytelnianiem telefonu. Następnie powiedz: „Czytaj wiadomości”, a Siri odczyta wszystkie nieprzeczytane wiadomości tekstowe z ekranu blokady. Powiedz: „Wyślij wiadomość tekstową”, a Siri pozwoli Ci podyktować wiadomość i ją wysłać. Powiedz: „Pokaż ostatnie rozmowy”, a Siri wyświetli Twoją ostatnią rozmowę telefoniczną. Powiedz: „Wyślij wiadomość e-mail do ,” a Siri pozwoli Ci podyktować wiadomość e-mail i ją wysłać.
Apple łata dziury w zabezpieczeniach iPhone’a X
Apple załatało dziurę w zabezpieczeniach iPhone’a X, który używa Face ID do odblokowywania telefonów. Nie ma sposobu, aby zmusić Siri do aktywacji na tych urządzeniach i niech nie właściciele dostęp do wiadomości tekstowych, dzienniki połączeń telefonicznych, e-mail, lub innych aplikacji.
Ponadto, przyszłe iPhone’y będą miały Face ID. Touch ID, choć nadal obsługiwany w iPhone’ach do serii iPhone 8, nie będzie uwzględniany w nowych urządzeniach.
Zablokuj swoją prywatność
Do czasu, aż Apple załata dziurę w iPhone’ach z Touch ID – lub do czasu, gdy będziesz mógł przejść na iPhone’a z serii X – najlepszą opcją jest wyłączenie Siri z ekranu blokady.
Uaktualnienie dla iOS 11
Z iOS 11, nadal można obejść ekran blokady iPhone’a i oszukać Siri, aby dostać się do telefonu osoby. Sposób obejścia jest taki sam, jak we wcześniejszej wersji systemu operacyjnego:
- Naciśnij przycisk home za pomocą palca niezwiązanego z uwierzytelnianiem odciskiem palca, co spowoduje przebudzenie Siri.
- Powiedz Siri: Cellular data.
Siri następnie otwiera ustawienia danych komórkowych, gdzie można wyłączyć dane komórkowe.
Jak to było wcześniej, każdy może to zrobić. Nie musi to być osoba, która „wyszkoliła” Siri.
By również wyłączyć Wi-Fi, odcinasz jej dostęp do łączności. Pojawi się błąd z napisem „Siri niedostępna. Nie jesteś podłączony do internetu.” Ale nie obchodzi cię ten błąd, bo już ominął ekran blokady iPhone.
Inne dziury prywatności pozostają
Jeszcze problem: Każdy może korzystać z Siri, aby przeczytać nowe / nieprzeczytane wiadomości tekstowe, wysyłać wiadomości tekstowe i zobaczyć najnowsze połączenie telefoniczne.
Aby to zrobić, ponownie monit Siri obudzić za pomocą palca nie związane z uwierzytelniania telefonu. Następnie powiedz: „Czytaj wiadomości”, a Siri odczyta wszystkie nieprzeczytane wiadomości tekstowe z ekranu blokady. Powiedz: „Wyślij wiadomość tekstową”, a Siri pozwoli Ci podyktować wiadomość i ją wysłać. Powiedz: „Pokaż mi ostatnie rozmowy”, a Siri wyświetli Twoją ostatnią rozmowę telefoniczną.
Dziura prywatności Facebooka zamknięta
Apple zamknęło dziurę, która pozwalała nakazać Siri publikowanie postów na Facebooku. Teraz mówi Ci, że nie może tego zrobić i daje Ci przycisk, aby otworzyć Facebook. Musisz wprowadzić kod dostępu do urządzenia, aby otworzyć aplikację.
Zablokuj swoją prywatność
Dopóki Apple nie załatał dziury, która pozwala ominąć ekran blokady i pozwala komenderować Siri, najlepszą opcją jest wyłączenie Siri z ekranu blokady.
iOS 10.3.2
Apple nadal nie załatał dziury pozwalającej ominąć ekran blokady iPhone’a. Od iOS 10.3.2 (i 10.3.3 beta) nadal można oszukać Siri, aby dostać się do iPhone’a danej osoby.
Działa to tak:
- Naciśnij przycisk home, używając palca niezwiązanego z uwierzytelnianiem odciskiem palca, co spowoduje wybudzenie Siri.
- Powiedz Siri: Cellular data.
Siri otworzy następnie ustawienia danych komórkowych, gdzie można wyłączyć dane komórkowe.
Każdy może to zrobić – nie musi to być osoba, która „wyszkoliła” Siri.
Przez wyłączenie również Wi-Fi, odcinasz jej dostęp do łączności. Pojawi się błąd z napisem „Siri niedostępna. Nie jesteś podłączony do internetu.” Ale nie obchodzi cię ten błąd, ponieważ już ominął ekran blokady iPhone’a.
Nie tylko ktoś może oszukać Siri, aby wyłączyć dane komórkowe, ale może ją oszukać, aby czytać nieprzeczytane wiadomości tekstowe i pisać na Facebooku – poważny problem prywatności.
Aby to zrobić, ponownie poproś Siri o obudzenie się za pomocą palca, który nie jest powiązany z uwierzytelnianiem telefonu. Następnie powiedz: „Czytaj wiadomości”, a Siri będzie czytać żadnych nieprzeczytanych wiadomości tekstowych z ekranu blokady. Lub powiedzieć, „Post to Facebook,” i Siri zapyta, co chcesz pisać na Facebook.
Sprawdziliśmy to z iPhone 7 pracownika, z kimś innym niż właściciel iPhone’a dając polecenia. Siri niech prawo osoby in.
Póki czekamy na Apple do łatania dziury, najlepszą opcją jest wyłączenie Siri z ekranu blokady.
iOS 9 ekran blokady obejścia luki
Istnieje wiele luk, które mogą pozwolić atakującemu dostać się przez ekran blokady kodu dostępu na urządzeniach Apple z systemem iOS 9.
Szczegóły dla czterech różnych scenariuszy ataku zostały ujawnione przez Vulnerability Lab. Ważne jest, aby pamiętać, że atakujący będzie potrzebował fizycznego dostępu do urządzenia, aby to pociągnąć; to powiedziawszy, doradztwo mówi, że hacki zostały pomyślnie wykonane na iPhone modele 5, 5s, 6 i 6s, jak również modele iPad Mini, 1 i 2 z systemem iOS 9 w wersjach 9.0, 9.1 i 9.2.1.
Badacz bezpieczeństwa Benjamin Kunz Mejri, który ujawnił inną metodę wyłączenia ekranu blokady kodu dostępu na iOS 8 i iOS 9 około miesiąc temu, odkrył błędy. Vulnerability Lab opublikowało film pokazujący wiele nowych sposobów na ominięcie kodu dostępu w iOS 9 przez lokalnego napastnika i uzyskanie nieautoryzowanego dostępu do urządzenia.
„Lokalni napastnicy mogą użyć Siri, kalendarza wydarzeń lub dostępnego modułu zegara do żądania wewnętrznego łącza przeglądarki do App Store, które jest w stanie ominąć kod dostępu klienta lub mechanizm ochrony przed odciskiem palca” – czytamy w ujawnieniu. Ataki wykorzystują luki „w App Store, Buy more Tones lub Weather Channel linków zegara, kalendarza wydarzeń i interfejsu użytkownika Siri.”
Istnieją cztery scenariusze ataku wyjaśnione w ujawnieniu i zademonstrowane w proof-of-concept wideo; każdy zaczyna się na urządzeniu iOS z zablokowanym hasłem.
Pierwszy scenariusz obejmuje naciśnięcie przycisku Home, aby aktywować Siri i poprosić ją o otwarcie nieistniejącej aplikacji. Siri odpowiada, że nie masz takiej aplikacji, ale ona „może pomóc Ci szukać go w App Store”. Stuknięcie w przycisk App Store otwiera „nowe, ograniczone okno przeglądarki.” Albo wybrać aktualizację i otworzyć ostatnią aplikację, lub „naciśnij dwa razy na przycisk Home” do podglądu slajdów zadań, aby wyświetlić. Przesuń palcem po aktywnym zadaniu na przednim ekranie i to ominęło ekran blokady passcode na modelach iPhone 5, 5s, 6 i 6s.
Drugi scenariusz jest podobny, najpierw naciskając na przycisk Home przez dwie sekundy, aby aktywować Siri, a następnie prosząc o otwarcie aplikacji zegara. Przełącz się na zegar światowy w dolnym module i dotknij obrazu dla sieci Weather Channel LLC; jeśli aplikacja pogody jest domyślnie wyłączona, to otworzy się nowe ograniczone okno przeglądarki, które ma linki menu App Store. Kliknij przycisk Aktualizuj i otwórz ostatnią aplikację, lub stuknij dwukrotnie w przycisk Home, aby przejść do podglądu slajdów zadań. Przeciągnij palcem po aktywnym ekranie przednim i voila – ekran blokady kodu ominięty ponownie; to podobno działa na modelach iPhone’a 5, 5s, 6 i 6s.
Trzeci scenariusz ataku działa na iPadzie model 1 i 2, ale w zasadzie wykonuje te same kroki, co scenariusz drugi, aby ominąć kod i uzyskać nieautoryzowany dostęp do urządzenia.
Czwarty sposób na ominięcie kodu dostępu do ekranu blokady polega na zmuszeniu Siri do otwarcia poprzez naciśnięcie przycisku Home i poproszenie jej o „otwarcie aplikacji Wydarzenia/Kalendarz”. Atakujący mógłby dotknąć linku „Informacje o kanale pogodowym”, który znajduje się na dole ekranu obok „modułu Jutro”. Jeśli aplikacja pogodowa jest domyślnie wyłączona, wtedy otwiera się nowe, ograniczone okno przeglądarki z linkami App Store. Stuknij Aktualizuj i otwórz ostatnią aplikację lub naciśnij dwukrotnie przycisk Home, aby wyświetlić podgląd slajdów zadań. Przeciągnij palcem, aby wybrać aktywny ekran przedni, a kod dostępu na ekranie blokady jest omijany.
Ale zespół bezpieczeństwa Apple został podobno powiadomiony 4 stycznia, nie ma żadnych dat wymienionych w osi czasu ujawnienia luki dla Apple odpowiedzi lub opracowania poprawki. Vulnerability Lab zaproponował następujące tymczasowe rozwiązanie dla użytkowników, aby utwardzić ustawienia urządzenia:
- Dezaktywuj w menu Ustawienia moduł Siri na stałe.
- Dezaktywuj również Kalendarz wydarzeń bez kodu dostępu, aby wyłączyć funkcję push linku Weather Channel LLC.
- Dezaktywuj w kolejnym kroku publiczny panel sterowania z timerem i zegarem światowym, aby wyłączyć eksploatację.
- Dezaktywuj ustawienia aplikacji pogodowej, aby zapobiec przekierowaniu, gdy moduł jest domyślnie wyłączony w kalendarzu wydarzeń.
.