Специалист компании Evolution Security GmbH обнаружил четыре опасные уязвимости в iOS. Ошибки позволяют локальному злоумышленнику обойти парольную защиту на устройстве. Эксплуатация уязвимостей позволяет получить доступ к нативным приложениям для iOS. По словам исследователя Бенджамина Курца Меджри (Benjamin Kurz Mejri), ошибки присутствовали в операционной системе в течение последних трех месяцев.
Каждая уязвимость может быть проэксплуатирована с помощью специально составленного запроса к голосовому помощнику Siri. Например, злоумышленник может попросить Siri открыть несуществующее приложение. В результате голосовой помощник откроет магазин приложений App Store, откуда злоумышленник может выйти на главный экран устройства в обход процедуры аутентификации.
Аналогичные уязвимости были обнаружены в приложениях Clock и Event Calendar. Программы позволяют пользователям открывать ссылки в приложении Weather Channel. Если данное ПО не установлено, пользователь будет перенаправлен в App Store. Эксплуатация уязвимости позволит злоумышленнику обойти процедуру аутентификации. Исследователь связался с Apple и сообщил о наличии уязвимостей в iOS еще в первых числах января нынешнего года. Компания до сих пор не выпустила исправления и не сообщила, когда ошибки будут устранены. (Apple/NovostIT)