アンバー・ニーリー
· 1分で読めます
新たなエクスプロイトにより、iPhone のパスコード、FaceID、または TouchID の要件を回避して、iOS 13 を実行している iPhone の連絡先情報を表示する方法が明らかになりました。
Jose Rodriguez 氏が YouTube にアップロードしたビデオでは、VoiceOver と Siri の脆弱性を利用すると、iPhone に保存されている連絡先に無制限にアクセスして閲覧できることが示されています。
ロドリゲス氏は、このエクスプロイトの仕組みを解説しています。具体的には、標的のiPhoneに電話をかけるかFaceTimeで接続するだけです。通話が発信されると、受信者は電話に出ずに、カスタムメッセージで応答する必要があります。メッセージ画面から、ユーザーはSiriを使ってVoiceOverをオンにし、その後オフにする必要があります。VoiceOverをオンにすると、連絡先欄に情報を追加できるようになり、iPhoneに登録されているすべての連絡先の連絡先情報を確認できます。
AppleInsiderはベクターを動作させることに成功しました。ただし、VoiceOverの有効化と無効化にはタイミングがあり、それは未知の要因によって変動します。
このエクスプロイトのリスクは比較的小さいです。攻撃者があなたのiPhoneを盗むという本質的な危険性を除けば、この方法では、標的のiPhoneに物理的にアクセスでき、VoiceOverエクスプロイトを実行できる場合にのみ、標的のiPhone内の連絡先を閲覧できます。
ロドリゲス氏は以前にもバイパスを発見していた。2018年には、iOS 12で別の複雑な脆弱性を発見した。この脆弱性により、ユーザーはVoiceOverを使ってiPhoneの写真や連絡先にアクセスできてしまう。これはiOS 13の脆弱性と酷似している。
この脆弱性から身を守りたい人は、パスコード設定メニューで電話がロックされているときに Siri を無効にすることで、脆弱性を完全にブロックできます。
ロドリゲス氏はiOS 13ベータ版のプロセスの早い段階でこの欠陥をAppleに報告した。
![Linksys Velop HomeKitルーターのファームウェアアップデートが予定されているが、すぐには実施されない [u]](https://image.tslro.com/imggkole/4e/b0/mike_wuerthele.webp)
