A Apple lançou há poucas horas o novo iOS 12.1 com melhorias, correções e otimizações. Claro que, alguém mais entusiasta não iria deixar de vasculhar os cantos e recantos à procura de alguma falha no capítulo da segurança.
Jose Rodriguez, um investigador de segurança espanhol, conseguiu encontrar um bug e contornar o código de segurança do iPhone.
Jose Rodriguez, investigador de segurança, confirmou a um site que descobriu um bug de bypass de palavra-passe do iPhone na versão mais recente do iOS 12.1, lançado pela Apple há poucas horas.
Para demonstrar o bug, Rodriguez partilhou um vídeo a mostrar o novo hack do iPhone a funcionar. Basicamente parece mais simples de executar do que as descobertas anteriores. Mesmo sendo uma operação com alguns passos mecanizados.
Problema está no novo Grupo de Facetime
Uma das novidades do iOS 12.1 é a funcionalidade de já ser possível fazer chamadas FaceTime em grupo, até um máximo de 32 pessoas. Contudo, segundo o vídeo, o novo recurso poderá ter aberto aqui um buraco na segurança.
Como funciona o novo bug Passcode Bypass?
Ao contrário dos bugs Passcode Bypass (contornar o código secreto) anteriores, o novo método funciona mesmo sem ter o recurso de leitor de ecrã Siri ou VoiceOver ativado num iPhone de destino, e como vamos ver, não é nada de extraordinário.
Os passos executados são os seguintes:
1 – Faça uma chamada para o número de telefone do iPhone que quer atacar (se não souber o número de telefone do alvo, pergunte à Siri “who I am” (se a Siri estiver em Inglês. Também pode solicitar à Siri para ligar soletrando os dígitos do seu número de telefone).
2 – Assim que a chamada for feita, inicie a chamada de vídeo “Facetime” no mesmo ecrã.
3 – Agora vá para o menu inferior direito e selecione “Adicionar contacto”.
4 – Pressione o ícone de adição (+) para ter aceso à lista de contactos completa do iPhone de destino e, ao tocar em 3D Touch em cada contacto, poderá ver mais informações.
“um iPhone bloqueado por código com o último iOS lançado ontem, o utilizador recebe um telefonema ou pergunta à Siri para fazer uma ligação telefónica (pode ser pedida a ligação por dígito) e, ao alterar a chamada para o FaceTime, o utilizador pode ter acesso à lista de contactos ao adicionar mais pessoas ao grupo FaceTime, e usando o 3D Touch em cada contacto, pode ver mais informações desse contacto.
Referiu Rodriguez à publicação The Hacker News.
Ataque que só funciona com iPhones
Além disso, deve-se notar que, como o ataque utiliza o Facetime da Apple, o hack só funciona se os dispositivos envolvidos no processo forem iPhones.
O novo método de bypass do código de acesso parece funcionar em todos os modelos atuais do iPhone, incluindo dispositivos iPhone X e XS, executando a versão mais recente do sistema operativo móvel da Apple, ou seja, iOS 12.1.
Como não há solução para corrigir temporariamente o problema, os utilizadores podem simplesmente esperar que a Apple emita uma atualização de software para resolver o novo bug de bypass do código de acesso o mais rápido possível.
Este investigador já descobriu vários bugs no iOS, vários ataques usando este tipo de método que contorna a exigência da palavra-passe de acesso ao conteúdo do iPhone. Recentemente, na versão 12.0.1 descobriu como se aproveitar do leitor de ecrã, existente nas acessibilidades do iOS que recorre à Siri e VoiceOver, conseguindo superar as defesas do seu telefone. Claro que são técnicas que permitem a invasores o acesso a dados privados, como os contactos, por exemplo.
A Apple deverá agora, e como tendo sido tradição, lançar um update ao iOS 12.1.