Anche se iOS 13 non sarà rilasciato fino al 19 settembre, un ricercatore di sicurezza ha già scovato una piccola falla. Jose Rodriguez ha pubblicato un video su YouTube in cui mostra un exploit che ha scoperto sulla prossima grande build del sistema operativo mobile di Apple.
Effettuando una chiamata FaceTime e quindi abilitando la funzione Siri VoiceOver, un utente iPhone può accedere all’elenco dei contatti del proprietario dell’iPhone. Ciò può fornire all’hacker un elenco di numeri di telefono, indirizzi e-mail, indirizzi e altro ancora senza sbloccare il dispositivo.
iOS 13, scovato già il primo exploit
Le foto del proprietario del telefono sono ancora protette. VoiceOver consente a Siri di leggere il testo che appare sul display di un iPhone ed è considerato una funzione di accessibilità per coloro che sono ciechi o che hanno problemi alla vista.
Rodriguez afferma di aver inviato ad Apple un video che mostra la vulnerabilità il 17 luglio, ma viene comunque mostrato nella versione Gold Master (GM) di iOS 13 che sarà diffusa la prossima settimana. Utilizzando la versione GM di iOS 13 su un iPhone X, The Verge è stato in grado di duplicare il bypass del blocco dello schermo.
L’anno scorso, Rodriguez ha scoperto un exploit simile su iOS 12.1 che ha permesso agli hacker di accedere non solo ai contatti dell’utente del telefono ma anche alle sue foto. Apple ha successivamente corretto questo problema in un aggiornamento successivo. VoiceOver è stato determinante anche in un altro exploit simile che ha permesso agli hacker di visualizzare i contatti di un utente iPhone con iOS 8 installato.
La nuova vulnerabilità di iOS 13 richiede che l’hacker riesca a trattenere l’iPhone del target abbastanza a lungo per completare l’intero processo. Richiede anche un secondo telefono per avviare la chiamata FaceTime con l’iPhone di destinazione. Apple dovrebbe patchare questo exploit in iOS 13.1, che dovrebbe essere lanciato a partire dal 30 settembre.
