AppleはSiriのロック画面バイパスのセキュリティ上の欠陥を修正するためにサーバー側に行く

AppleはSiriのセキュリティ上の欠陥を修正し、攻撃者にデバイスへの物理的なアクセスを許可し、被害者のメディアと連絡先を盗聴する機会を与えている。

フル・ディスクロージャーに掲載されたセキュリティ上の欠陥は、火曜日に明らかになった。セキュリティ研究者のBenjamin Kunz Mejri氏は、バイパスの欠陥を発見し、Appleが成功せずに彼の提出物に応答するのを2週間待って公開した。

このバグはiPhone 6Sおよび6S Plusに影響し、最新の9.3.1アップデートを含むiOS 9.2以降で悪用されました。

バグを悪用するために、攻撃者は指紋をスキャンしたり、パスコードを推測する必要はありません。代わりに、犠牲者のデバイスは、特定の状況を遵守する必要があります。つまり、Appleの音声アシスタントSiriは、ロック画面とTwitterアカウントにアクセスする必要があります。

iPadとiPhoneメーカーの「Force Touch」機能も搭載されている必要があります。そのため、iPhone 6Sと6S Plusだけが影響を受けます。なぜなら、アップルのタッチパッドには、圧力に敏感な新しいトラックパッドが含まれています。

これらの要件が満たされると、スマートフォンにアクセスできる攻撃者がSiriを呼び出してTwitterにアクセスし、電子メールまたは連絡先を検索することができます。継続して押すことで、攻撃者は編集可能な連絡先、写真、電子メール、およびその他の連絡先データを開くことができます。

Siriをロック画面から無効にすることで、セキュリティ上の欠陥が一時的に「修正」される可能性があります。しかし、セキュリティ上の問題が公開された後、Appleはワシントンポストの声明で、同バグは火曜日の朝にサーバー側にパッチされたと語った。

ユーザーは、更新する必要なしに、この脆弱性から保護されています。この問題を悪用しようとすると、「まずiPhoneをロック解除する必要があります」という画面が表示されます。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

9to5Macによれば、AppleはNight Shiftモードに関連して、別のバグを修正する機会を利用しました。低電力モードを有効にしているときにSiriを使用してこのモードを有効にすることができましたが、ユーザーは最新のサーバー側の更新で同時に両方を実装することができません。

読んでください:トップピック

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

あなたがロシア人でない限り、あなたのBitcoinの鉱業利益を30%増加させる方法、SMS Androidのマルウェアがあなたのデバイスを根絶し、乗っ取る – バグ賞金:研究者の現金を提供する会社、Shodan:IoT検索エンジンのプライバシーメッセンジャーあなたは盗まれた銀行データをダークウェブに漏らしますか?

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています