______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Брешь в FaceTime позволяет шпионить за пользователями iOS

Ошибка сервиса позволяла скрытно следить за пользователями через микрофон и камеру их iOS-устройства. Обнаруженная брешь заставила Apple отключить групповые звонки в FaceTime до тех пор, пока инженеры не определят причину проблемы и не исправят ее.

Баг заметил 14-летний геймер, когда собирал своих друзей в FaceTime для матча Fortnite. В ожидании соединения он понял, что может слышать других участников беседы, даже если они еще не приняли звонок. Он рассказал о проблеме своей матери, которая отправила информацию в Apple.

Служба поддержки отреагировала не сразу, заставив женщину завести аккаунт разработчика, чтобы отправить формальный отчет об ошибке. Только через неделю после ее первого сообщения, когда об уязвимости рассказали журналисты 9to5Mac, корпорация отключила FaceTime.

Чтобы воспользоваться багом, пользователю следует начать FaceTime-звонок и, не дожидаясь ответа, добавить себя в эту же беседу как нового участника. Сделать это можно через меню внизу экрана — с выходом iOS 12.1 там появилась кнопка для организации групповых видеозвонков. Перед атакой уязвимы все iOS-устройства с этой версией ОС и выше.

По словам экспертов, переоценить масштаб угрозы в данном случае сложно. Брешь позволяет любому человеку прослушивать пользователей, зная всего лишь их телефон. Некоторым экспериментаторам удалось получить и видеопоток с целевого устройства.

Специалисты призывают пользователей отключить FaceTime в настройках телефона и ждать выхода заплатки. По словам Apple, патч выйдет в течение недели.

Групповые видеозвонки на устройствах Apple уже вызывали беспокойство пользователей. Менее чем через сутки после запуска функции независимый эксперт научился с ее помощью открывать адресную книгу заблокированного аппарата. Уязвимость была доступна через все ту же опцию добавления участников.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх