Um bug encontrado no iOS 12 permite que, com uso da assistente digital Siri, qualquer pessoa com acesso físico a um celular consiga abrir imagens guardadas dentro de um iPhone.
A falha foi descoberta pelo pesquisador de segurança José Rodríguez. Ele postou uma demonstração do esquema em um vídeo no YouTube (que pode ser visto abaixo). A vulnerabilidade é bastante grave e permite não só que álbuns de imagens sejam acessados, mas também que fotos sejam enviadas para qualquer pessoa a partir do aplicativo de mensagens da Apple.
O mais grave é que é bem fácil explorar a falha em questão. Para começar, é preciso ligar para o número do iPhone a partir de outro celular. Quando o iPhone recebe a ligação, o hacker precisa responder com uma mensagem de texto em vez de atender a chamada. A partir daí, ele começa a usar a Siri para iniciar o VoiceOver, recurso de acessibilidade do iOS voltado para usuários com problemas de visão.
Com o VoiceOver ativado, o hacker precisa clicar no ícone da câmera e chamar novamente a Siri – é a etapa mais complicada do processo, já que exige timing perfeito para ativar a falha. O VoiceOver então entra em ação e o responsável pelo ataque só precisa deslizar o dedo na tela algumas vezes até chegar à biblioteca de fotos. Ele consegue realizar diversas ações com imagens, incluindo o encaminhamento delas para outro iPhone a partir do aplicativo de mensagens do iOS.
O pesquisador disse tinha encontrado uma falha parecida no iOS 12, mas ela foi corrigida no iOS 12.0.1. O problema é que, na versão mais recente do sistema móvel, uma outra vulnerabilidade parecida foi encontrada, facilitando o processo de acesso indevido às imagens da câmera do celular.
Enquanto a Apple não corrige o novo erro, um jeito de manter o iPhone protegido é desativando a Siri quando o celular estiver bloqueado – isso pode ser feito na área Touch ID e Código dentro das configurações do celular.