E’ stato scoperto un nuovo bug in iOS 9.3.1 su iPhone 6s e 6s Plus (dovuto al 3D Touch) che permetterebbe a chiunque di sfruttare Siri sui device altrui per accedere a foto e contatti in memoria. Fortunatamente c’è un modo per mettere al sicuro i dati personali con pochissimi passaggi.
AGGIORNAMENTO: al momento qualsiasi richiesta di ricerca su Twitter tramite Siri richiede lo sblocco del dispositivo quindi sembra che, via server, il bug sia stato corretto. Si trattava di un bug di Siri, quindi Apple ha potuto correggerlo via server, senza necessità di un aggiornamento software.
Iniziamo descrivendo la vulnerabilità. Se avete abilitato la ricerca su Twitter da Siri (basterà, per la prima volta, chiedere a Siri di eseguire una ricerca su Twitter da device sbloccato per abilitare la funzione; funzione che poi funzionerà anche con schermo bloccato), basterà chiedere a Siri di eseguire una ricerca sul social cinguettante, cercare un indirizzo email tra i risultati (ad esempio @yahoo.com) e premere con il 3D Touch sul contatto in questione. A questo punto l’iPhone vi chiederà quale operazione eseguire e, tra le varie opzioni disponibili, se selezionerete “aggiungi a contatto esistente” o “crea nuovo contatto” sarà possibile accedere agli altri contatti in memoria e alle foto sul device da usare come foto per il nuovo contatto da aggiungere o modificare.
Abbiamo testato personalmente questo bug ed effettivamente ha funzionato, esponendo i nostri contatti e le nostre foto potenzialmente a chiunque metta le mani sui nostri device. Fortunatamente c’è una soluzione a tutto questo, in attesa di una risoluzione ufficiale da parte di Apple. Ci sono due soluzioni a disposizione: la prima ci permette di mettere al sicuro solo le immagini disabilitando l’accesso di Siri alle foto dalle impostazioni di iOS, alla voce privacy, foto. L’altra opzione metterà al sicuro sia le foto sia i contatti perchè disabiliterà Siri dalla schermata di blocco. Per disabilitare Siri dalla lockscreen dovrete recarvi sulle impostazioni di iOS, alla voce Touch ID e codice e disabilitare Siri.
In questo modo, se l’iPhone non sarà sbloccato non sarà possibile accedere all’assistente virtuale e quindi non sarà possibile eseguire questo “trick”. Per quanto riguarda la funzionalità Hey Siri always on, ovviamente il comando non funzionerà nella schermata di blocco se disabiliteremo Siri nella lockscreen e sarà disponibile solo ad iPhone sbloccato, rendendo di fatto piuttosto inutile la funzionalità.
Se il trick con voi non funziona è possibile che la ricerca di Siri su Twitter non sia ancora stata abilitata da device sbloccato. I nostri test hanno coinvolto un iPhone 6s Plus con iOS 9.3.1.
Vi alleghiamo di seguito il video realizzato da 9to5Mac che mostra il bug in questione:
Fonte: 9to5Mac