Четыре серьезные уязвимости были обнаружены в iOS специалистом компании Evolution Security GmbH. Используя ошибки, локальный злоумышленник может обходить парольную защиту на устройстве.
Использование уязвимостей дает хакеру доступ к нативным iOS-приложениям. Как утверждает исследователь Бенджамин Курц Меджри, данные уязвимости присутствуют в операционной системе уже три месяца.
Злоумышленник может воспользоваться каждой уязвимостью благодаря составленному специальным образом запросу к голосовому помощнику Siri. Так, хакер может попросить Siri открыть приложение, которое на самом деле не существует. В итоге Siri открывает магазин приложений App Store, благодаря которому хакер может перейти на главный экран устройства, обходя процедуру аутентификации.
Идентичные уязвимости выявлены в приложениях Event Calendar и Clock. С помощью этих программ пользователь может открыть ссылку в приложении Weather Channel. В том случае, если данное приложение не установлено на устройстве, то произойдет перенаправление в App Store. Таким образом злоумышленник может обходить процесс аутентификации.
Исследователь вышел на связь с Apple и проинформировал представителей компании о наличии уязвимостей в iOS еще в начале января текущего года. Исправления до сих пор не были выпущены. В Apple не сообщают, когда будут устранены данные уязвимости.