A lezárt képernyőt érintő hibáknak mondhatni már történelme van. Az élelmesek vagy a túl sok szabadidővel rendelkezők a lehető legbonyolultabb módon próbálják kijátszani a jelkód adta védelmet és így hozzáférést szerezni a készüléken található adatainkhoz.

Az azért kijelenthető, hogy magához a rendszerhez nem tudnak hozzáférést szerezni, tehát a jelkód nem kerülhető ki, és a készülék nem törhető fel – de a személyes adataink egy részéhez általában sikerül találni valami hibát, ami kiskapuként megmutatja például a fotóinkat. Ráadásul ez a hiba most nem csak az iOS 10.2 legfrissebb bétájában használható ki, hanem egészen a 8.0-ig visszamenően. Nézzük, most épp miről van szó, és hogy hogyan lehet védekezni ellene.

Gyakorlatilag az összes esetben fizikai hozzáférés szükséges a készülékünkhöz, így amennyiben azt nem tévesztjük szem elől, akkor már rögtön sokat tettünk a biztonság érdekében. Persze ez nem véd az ellen, ha sikerül elhagyni a készüléket, vagy azt egyszerűen elemelik tőlünk, bár talán az még viszonylag ritka, hogy célzottan, az adatok megszerzése miatt lopnának készüléket.

Hogyan használható ki ez a hiba?

Az első lépés megtudni az érintett készülék telefonszámát, hogy azt fel tudjuk hívni. Ehhez a támadó egyszerűen megkérdezi Sirit: “Who am I?” (Ki vagyok én?), és amennyiben el van mentve a névjegyzékbe a saját kontakt infónk, Siri már boldogan el is árulja nekünk az adatokat. Ekkor egy másik készülékről fel kell hívni az áldozat készüléket, majd a hívás fogadása helyett rá kell nyomni az üzenetküldés gombra. Ezután meg kell mondani Sirinek, hogy kapcsolja be a VoiceOver kisegítő lehetőséget. A VoiceOver a vakok és gyengénlátók által használt szolgáltatás, ami felolvassa a képernyő tartalmát, illetve azon elemeket, amire rányomunk.

Az ügyességet igénylő rész ezután következik: a címzett mezőre duplán kell tappintani, majd a második tappintást lenyomva tartva rögtön rá kell nyomni a billentyűzetre lent. Ha jól időzítettünk, akkor át tudjuk írni a címzettet. Most már kikapcsoltathatjuk a VoiceOver-t Sirivel: “Turn off VoiceOver”, majd nyomjuk meg a Home gombot.

Ezután ha beírunk csak egyetlen betűt is, a készülék már fel fogja dobni az egyező kontaktokat, majd bármelyik neve mellett az (i)-re nyomva hozzáférhetünk az adataihoz, majd itt az új névjegy hozzáadása opcióra nyomva és a fotó hozzáadását kiválasztva már láthatjuk is a készüléken tárolt képeket.

A vizuális típusok számára az iDeviceHelp készített egy videót is:

Hogyan előzhető meg mindez?

A megoldás most is arcpirítóan könnyű: tiltsuk le a Siri elérhetőségét a lezárt képernyő esetén.

Ehhez menjünk a Beállítások appban a Touch ID és jelkód menüpontba, adjuk meg a jelkódot, majd görgessünk le az Elérés engedélyezése zárolásnál részhez, ahol kapcsoljuk ki a Siri opciót.

Az Apple ezt egyébként valószínűleg azzal fogja javítani, hogy megakadályozza, hogy a tapicskolásunknak köszönhetően szerkeszthetővé váljon a címzett szövegmező, illetve hogy új kontaktot adhassunk hozzá, ha a képernyő zárolva van.