Embora o iOS 13 não seja lançado até 19 de setembro, um investigador de segurança chamado Jose Rodriguez já colocou um vídeo no YouTube descoberto pelo site The Verge que revela a exploração de uma vulnerabilidade que descobriu na próxima grande versão do próximo sistema operativo da Apple para dispositivos móveis. Ainda não saiu, mas já tem uma falha a ser resolvida.
Falha de segurança no iOS 13 revela os contactos dos utilizadores
Ao fazer uma chamada do FaceTime e quando ativa a funcionalidade Siri VoiceOver, um utilizador do iPhone pode aceder à lista de contactos do dono do iPhone. Como rapidamente se percebe, isto fornece ao utilizador mal intencionado uma lista de números de telefone, endereços de email, moradas e muito mais, sem desbloquear o dispositivo. As fotos do proprietário do smartphone continuam a estar protegidas.
Apenas para relembrar, o VoiceOver permite que a Siri leia o texto que aparece no visor do iPhone e é considerado um recurso de acessibilidade para pessoas cegas ou com problemas de visão.
Rodriguez diz que enviou à Apple um vídeo a revelar a vulnerabilidade no dia 17 de julho. A mesma continua a estar presente na versão Gold Master (GM) do iOS 13 que será divulgada na próxima semana.
Dito isto, utilizando esta mesma versão GM do iOS 13 num iPhone X, o The Verge conseguiu replicar esta situação. No ano passado, Rodriguez descobriu uma exploração semelhante no iOS 12.1 mas que era mais grave. Na prática, permitia que alguém mal intencionado não só acedesse aos contactos do proprietário, mas também às fotos. A Apple corrigiu posteriormente este problema através de uma atualização. O VoiceOver também foi fundamental noutra exploração semelhante que permitia que terceiros visualizassem os contactos de um utilizado do iPhone com o iOS 8 instalado.
Como a façanha que descobriu no ano passado, a nova vulnerabilidade do iOS 13 exige que o utilizador mal-intencionado pegue no iPhone da vítima. Isto durante tempo suficiente para concluir todo o processo. Também requer um segundo smartphone. É que será necessário iniciar a chamada do FaceTime com o iPhone de destino. Espera-se que a Apple tenha este exploit corrigido no iOS 13.1, que deve ser lançado a partir de 30 de setembro.
