Poważna luka w iPhone'ach. Siri wyrecytuje wszystkim twoje prywatne wiadomości [Aktualizacja]
Apple ma problem. Co gorsza - użytkownicy iPhone'ów mają problem. Ich wiadomości nie są bezpieczne i nie pomogą tu żadne kosmiczne technologie stojące za Touch ID czy Face ID, którymi chwali się gigant z Cupertino.
[h4]Aktualizacja[/h4]
[url=https://www.engadget.com/2018/03/22/apple-siri-bug-hidden-notifications/]Engadget[/url] otrzymał od Apple'a informację, że firma jest świadoma problemu i pracuje już nad łatką, która pojawi się w jednej z nadchodzących aktualizacji oprogramowania.
Szansa na to, że ktoś postronny korzystając z Face ID odblokuje twojego iPhone'a? Zdaniem Apple'a - jeden do miliona. Szansa na to, że ktoś postronny odczyta twoje prywatne wiadomości bez konieczności odblokowania telefonu? Milion do miliona. Wystarczy, że masz włączonego asystenta Siri.
Siri czyta prywatne wiadomości
Poważną lukę w systemie iOS odkrył serwis Mac Magazine. Okazuje się, że wystarczy uruchomić Siri z poziomu ekranu blokady i polecić jej odczytanie powiadomień. Asystent bez oporu recytuje recytuje nawet ukryte notyfikacje.
Co jednak ciekawe, nie dotyczy to systemowych aplikacji. Siri odczytuje wiadomości z Messengera czy WhatsAppa, ale pomija chociażby SMS-y z iMessege, które przez asystenta w ogóle nie są interpretowane jako powiadomienia.
Błąd ten na pewno jest obecny na iPhone'ach z najnowszą wersją systemu (11.2.6) oraz - zdaniem wspomnianego serwisu - nawet na testowym wydaniu iOS-u 11.3.
Sprawdziłem - ten sposób naprawdę działa
Ten błąd wydaje się tak absurdalny, że aż ciężko w niego uwierzyć. Zazwyczaj ewentualne obchodzenie luk polega przecież na wykonaniu zestawu ściśle określonych i nieoczywistych czynności, które mogą (choć nie powinny) umknąć uwadze twórców systemu.
A jednak. Sam poprosiłem Siri o odczytanie powiadomień i po chwili mój iPhone X załapał się do finału Ogólnopolskiego Konkursu Recytatorskiego. Oczywiście w ustawieniach ukryłem treść powiadomień na ekranie blokady, a sensor Face ID zakryłem palcem.
Co jednak ciekawe, działa to tylko w przypadku poleceń typu "odczytaj moje powiadomienia". Na komendę "odczytaj moją ostatnią wiadomość z WhatsAppa" Siri reaguje prośbą o odblokowanie telefonu.
To karygodne niedopatrzenie
Szczęście w nieszczęściu jest takie, że w Polsce wiedza o tej luce jest niespecjalnie użyteczna. Siri nie obsługuje naszego języka, przez co polskie wiadomości czytane po angielsku zamieniają się w ekstremalnie trudny do zrozumienia bełkot. Choć oczywiście odpowiednio zdeterminowanej osobie udałoby się pewnie rozszyfrować kluczowe słowa.
Tak czy inaczej, taka luka nie powinna się pojawić. Nie w drogim, markowym sprzęcie. Nie w telefonie za 5000 zł, którego zabezpieczenia biometryczne reklamowane są niczym największy ficzer od dekad.
Gdyby Apple ułamek budżetu tej zrealizowanej w hollywoodzkim stylu reklamy przeznaczył na zespół ekspertów, którzy rzetelnie sprawdzają zabezpieczenia systemu przed udostępnieniem go konsumentom, taka dziura prawdopodobnie by nie przeszła. Przy czym w tym przypadku wykorzystanie luki jest procesem tak "skomplikowanym", że z jej wykryciem powinien poradzić sobie średnio ogarnięty nosacz sundajski.
Miejmy nadzieję, że Apple szybko upora się z tym problemem i wypuści stosowną aktualizację, a priorytetem podczas tworzenia iOS-u 12 faktycznie jest jakość systemu. Na razie najbezpieczniejszym rozwiązaniem jest wyłączenie asystenta głosowego na ekranie blokady, co można zrobić w zakładce "Siri i wyszukiwanie" w ustawieniach.