Apple gaat server-side aan Siri screen lock bypass lek te repareren

Apple heeft bevestigd een veiligheidslek in Siri, die aanvallers de kans om te snuffelen door de media en de contacten van een slachtoffer verleend met fysieke toegang tot een apparaat.

Het lek, geplaatst op Full Disclosure, kwam aan het licht op dinsdag. Security-onderzoeker Benjamin Kunz Mejri ontdekte de bypass fout en in het openbaar de kwetsbaarheid na twee weken wachten voor Apple om te reageren op zijn onderwerping zonder succes.

De bug heeft invloed op de iPhone en 6S 6S Plus en was exploiteerbaar op iOS 9.2 en verder – waaronder de nieuwste 9.3.1-update.

Om de bug te exploiteren, hebben aanvallers niet nodig om een ​​vingerafdruk te scannen of gissen naar de toegangscode. In plaats daarvan moet het apparaat van het slachtoffer zich te houden aan een bepaalde set van omstandigheden – dat wil zeggen, Apple’s stem assistent Siri moet toegang hebben tot het slot scherm en een Twitter-account te hebben.

De iPad en iPhone-maker “Force Touch” functie moet ook aanwezig zijn – en dat is waarom alleen de iPhone en 6S 6S Plus zijn getroffen, want zij zijn de enige smartphones binnen het bereik van Apple die de drukgevoelige nieuwe trackpad bevatten.

Wanneer deze eisen wordt voldaan, kan een aanvaller met toegang tot de smartphone oproepen Siri toegang tot Twitter en zoek naar een e-mail of neem contact op. Door verder naar beneden te drukken, kan een aanvaller openstellen bewerkbare contacten, foto’s, e-mails en andere contactgegevens.

Het lek kan tijdelijk worden ‘opgelapt’ door het uitschakelen van Siri uit het slot scherm. Echter, na het beveiligingsprobleem publiek ging, Apple zei in een verklaring aan de Washington Post dat de bug werd gepatcht server-side op dinsdagochtend.

Gebruikers zijn nu beschermd tegen het beveiligingslek zonder enige noodzaak om te werken. Proberen om deze kwestie te exploiteren nu resulteert in een scherm dat zegt: “Je moet eerst ontgrendelen uw iPhone.”

De kosten van ransomware aanvallen: 1000000000 $ dit jaar; Chrome etikettering HTTP-verbindingen als niet-beveiligde start; de Hyperledger Project groeit als gangbusters; Nu kunt u een USB-stick die alles vernietigt op zijn pad te kopen

Volgens 9to5Mac, Apple gebruik gemaakt van de mogelijkheid om een ​​andere bug patch – zij het veel minder belangrijk – die betrekking hadden op Night Shift-modus. U gebruikt om te kunnen Siri gebruiken om deze modus te activeren terwijl het Low Power Mode is ingeschakeld, maar de gebruikers zijn nu in staat om zowel te voeren op hetzelfde moment met de nieuwste server-side-update.

Lees verder: Top picks

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond

Hoe kunt u uw Bitcoin mijnbouw winst te verhogen met 30 procent met minder inspanning; SMS Android malware wortels en kaapt uw ​​apparaat – tenzij je Russische bent; Bug premies:? Welke bedrijven bieden onderzoekers contanten; Shodan: Het internet van de dingen zoekmachine privacy boodschapper; Wat gebeurt er als je lek gestolen bankgegevens naar de Dark web?

Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond, veiligheid, Chrome etikettering HTTP-verbindingen beginnen als niet-veilige, veiligheid, de Hyperledger Project groeit als gangbusters

Chrome etikettering HTTP-verbindingen als niet-beveiligde start

De Hyperledger Project groeit als gangbusters