skip to main | skip to sidebar
3 commenti

Come scavalcare il PIN di blocco di un iPhone usando Siri

Se avete Siri attivato sulla schermata di blocco del vostro iPhone, un aggressore può accedere alle vostre foto anche senza conoscere il vostro PIN o usare la vostra impronta digitale: lo segnala Bitdefender, che spiega in dettaglio la tecnica usata.

L’aggressore deve avere accesso fisico al vostro iPhone (non può agire via Internet) e deve conoscere il vostro numero di telefono (cosa piuttosto facile: basta chiederlo a Siri). Fatto questo, l’aggressore chiama il vostro numero, seleziona sul vostro iPhone un messaggio per rispondere alla chiamata e ordina a Siri di attivare la funzione VoiceOver (che usa una voce sintetica per leggere il contenuto dello schermo per chi ha problemi di vista).

Dopo alcuni altri passaggi che richiedono soltanto un po’ di rapidità e tempismo, diventa possibile accedere all’album delle foto usando l’espediente di aggiungere un nuovo contatto fittizio. Anche i messaggi sono accessibili.

Il difetto di sicurezza vale per iPhone e iPad (usando il nome FaceTime della vittima al posto del suo numero di telefono) e per tutte le versioni di iOS dalla 8.3 in poi fino alla versione più recente, la 10.2 beta. Una dimostrazione in video è qui.

È prevedibile che Apple rilascerà un aggiornamento che correggerà questa falla, ma gli iPhone meno recenti (per esempio l’iPhone 4S), che Apple non aggiorna, resteranno permanentemente vulnerabili.

Per rimediare a questa falla è possibile andare in Impostazioni - Touch ID e codice e poi disattivare la voce Siri in Consenti accesso se bloccato.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (3)
Già il primo passaggio, in cui chiedo chi sono, non va, semplicemente perché non sono ovviamente tra i miei contatti.
Se uno telefona poi non capisco perché debba dirmi il mio numero di telefono se non rispondo personalmente.
Per quel che riguarda iphone, solo il 4S (uscito nel 2011) è vulnerabile, gli altri sono tutti aggiornabili a ios10.
Fortunatamente è un bug abbastanza limitato, occorre accesso fisico al dispositivo, e tempo per fare tutti i passi
@lucac81

Il tempo lo trovano... quello di sicuro, e poi si tratta di qualche minuto.
Il fatto è che certamente è un grave baco, sulla sicurezza non si scherza.
Un primo passo è togliere se stessi dai contatti così il whoami non da alcun risultato.
Certo non è risolutivo, perché comunque qualcuno potrebbe telefonare al dispositivo.
In questo caso però in primis risponderebbe una voce sconosciuta, e quindi difficile che si possa andare a passi successivi.
Certo se telefona uno sconosciuto e il malintenzionato risponde, potrebbe chiedere il proprio numero, tuttavia risulterebbe curioso, anche se si può comunque ottenere una risposta.
Speriamo che Apple proceda immediatamente al rilascio di una versione di iOS che corregge il problema.