Prywatność znajduje się na sztandarze Apple, lecz to nie wystarcza, by produkty były odporne na błędy. Odpowiednia sekwencja działań pozwalała na podsłuchiwanie mikrofonu (a czasem także kamery) odbiorcy połączenia FaceTime.
Nie wszystkie błędy polegają na zaawansowanych atakach. Czasem problem leży w sposobie działania aplikacji lub protokołu i jego odkrycie następuje przez przypadek. Nie inaczej było tym razem.
Ty nie odbierasz, a dzwoniący już słucha
Historia zaczęła się na Twitterze, gdzie jeden z użytkowników zademonstrował nietypowy błąd, umożliwiający podsłuchiwanie rozmówcy.
Problem został szybko potwierdzony przez serwis 9TO5Mac. Aby wywołać błąd, trzeba było:
- zacząć połączenie FaceTime Video,
- gdy aplikacja zaczyna dzwonić, wyciągnąć menu z dołu ekranu i dodać nowego użytkownika do rozmowy,
- dodać swój własny numer.
W efekcie rozpoczynała się rozmowa grupowa z drugą osobą, mimo iż ta jeszcze ani nie odebrała, ani nie odrzuciła połączenia. W ten sposób można było podsłuchać mikrofon osoby po drugiej stronie bez jej wiedzy.
(źródło: 9TO5Mac)
Otrzymanie obrazu wideo zanim druga osoba odbierze połączenie także było możliwe, lecz wymagało naciśnięcia przez odbiorcę klawisza głośności. Nie pytajcie nas, dlaczego…
Zaraz naprawimy, a w sumie to wyłączymy
Błąd obecny był na wszystkich urządzeniach Apple z systemem iOS od wersji 12.1 włącznie obsługujących usługę FaceTime. Apple obiecało błąd usunąć do końca tygodnia, ale z uwagi na masowe wykorzystywanie błędu przez internautów krótko po ujawnieniu problemu wyłączyło serwer obsługujący rozmowy grupowe.
Jeśli nie ufacie już usłudze FaceTime i z niej nie chcecie korzystać, można ją po prostu wyłączyć. Apple najwyraźniej powinno rozszerzyć program testów przed wypuszczaniem aktualizacji.
Komentarze
Wygląda jak funkcja, nie błąd:)
Właśnie.
Na jednej z ostatnich konferencji nowego iosa Apple się tym chwaliło ze przed odebraniem połączenia jest już przesyłane wideo czy audio.
Otóż to.
ciekawy projekt prywatnego smartfona https://puri.sm/products/librem-5/ oferuje fizyczne odłączniki mikrofonu i basebandu, wejście na rynek jest planowane w kwietniu. trudno powiedzieć na ile to będzie miało sens, ale warto obserwować inicjatywę
Błąd? Firma mająca bezpieczeństwo na sztandarach? Nie powinno być w ogóle możliwe napisanie takiego kodu, chyba że ze świadomym obejściem przez developera podstawowych mechanizmów wbudowanych w API. Każdy dostęp do kamery czy mikrofornu powinien z zasady przechodzić przez warstwę UI (potwierdzenie jakimś kliknięciem itp.). Wóczas nikt by potem nie błaznował, że popełnił błąd. Błąd? No to tłumacz po co obszedłeś standardowe mechanizmy! Nie jesteś w stanie? To 100 milionów USD odszkodowania.