7. 3. 2015

Bezpečnostní analytik Benjamin Kunz Mejri z výzkumného týmu společnosti Vulnerability Laboratory zveřejnil podrobnosti k zranitelnostem, které postihují mobilní operační systém iOS od firmy Apple.

Charakteristika zranitelnosti

Chyby se nacházejí v defaultním nastavení modulů Timer, WorldClock, Events/Calendar a v uživatelském rozhraní Siri, odkud se lze pomocí odkazů na „Appstore“, „Buy more Tones“ nebo „WeatherChannel“ a skrze interní webový prohlížeč dostat do prostředí zabezpečeného pomocí PassCode.

Postižené systémy

AppleiOS ve verzích 9.1, 9.2 a 9.2.1.

Dopad zranitelnosti

Zneužití zranitelnosti umožňuje útočníkovi s fyzickým přístupem k zařízení (iPad, iPhone) obejít ochranu PassCode a získat tak kontrolu nad postiženým mobilním zařízením.

Řešení

Uživatelům se doporučuje dočasně posílit ochranu deaktivováním modulů Siri, Events/Calendar, Timer a WorldClock. Aby se zabránilo nežádoucímu přesměrování při deaktivovaném modulu Events/Calendar, je potřeba správně nastavit aplikaci Weather. Dále se doporučuje vyčkat na vydání opravy od firmy Apple a neprodleně ji nainstalovat.

CVE

N/A

Odkazy

http://www.vulnerability-lab.com/get_content.php?id=1778
http://www.vulnerability-lab.com/get_content.php?id=1779
https://www.youtube.com/watch?v=-XLlpnjZXFM