С удивлением обнаружил, что Хабр обошла новость о том, что любой желающий может обойти экран блокировки iPhone и получить доступ к приватным данным, например, фотографиям и телефонной книге. При условии, что на смартфоне включена Siri.



Для тех, кто не хочет смотреть видео или у кого не получилось воспроизвести, привожу подробную инструкцию.
Главное во втором шаге.

1. Введите четыре раза неправильный пароль.
2. На пятый раз введите ТРИ цифры, зажмите кнопку Домой и сразу нажмите четвёртую кнопку для ввода пароля.
3. Спросите Siri «Сколько времени».
4. Нажмите на появившуюся плашку Часы.
5. В открывшемся приложении нажмите на кнопку "+".
6. Дальше в поиске вводите любой набор букв.
7. Выделяете ранее ведённый набор.
8. В появившемся всплывающем меню выбираете пункт «Поделиться».
9. В новом меню указываете «Сообщения».
! Если тут появляется окно ввода пароля к устройству, значит вы что-то не правильно сделали в пункте 2.

10. Ну дальше просто, можно создать новый контакт или просмотреть всю телефонную книгу. При создании нового контакта можно посмотреть фотографии, выбрав пункт «присвоить фотографию контакту».

Только что проверил на бете iOS 9.1 — баг воспроизводится.

По мотивам этой статьи.

UPD.: 23 сентября с подтверждением выступил Appleinsider.com

Комментарии (10)


  1. Firz
    22.09.2015 22:40
    +2

    "! Если тут появляется окно ввода пароля к устройству, значит вы что-то не правильно сделали в пункте 2."

    //sarcasm
    Может быть, забыли что нужно нажимать кнопку домой авторизованным пальцем(чтобы разблокировалось), а не каким попало?
    p.s. И да, я тестировал, и да, несколько раз.


    1. biziwalker
      22.09.2015 23:19

      Тоже попробовал несколько раз — не получилось. Стоит последняя iOS 9.0

      PS: Использовал мизинец для TouchID :)


  1. Invision70
    22.09.2015 23:03

    Кто смог повторить? У меня не получилось.


    1. Goodkat
      23.09.2015 00:51

      Вместо SMS я тыкнул в Facebook, и тут всё зависло на списке городов.


  1. silentfobos
    23.09.2015 08:01

    У меня все сработало. Только не совсем понял, зачем нужен трюк с последней цифрой. (у меня установлен символьный пароль, а не пин). Сделал проще:
    1. Нажал, удерживая, тач айди незапрограммированным пальцем.
    2. Спросил у сири который час
    3. Дальше аналогично вышенаписанному

    UPD: iOS 9.0, iPhone 5s


  1. xamd
    23.09.2015 10:01
    +2

    Я вообще, честно говоря, не понимаю, зачем все эти трюки с N раз непраивльно введенным паролем. На моём 5c я могу просто вызвать Siri удерживанием Home и спросить сколько время, на что получу ровно такой же ответ, как и в видео


    1. maximw
      23.09.2015 14:50

      Чтобы вранье звучало убедительно, нужно уметь придумывать детали.
      Айрис Мердок

      Вообще думал, что у Агаты Кристи есть похожая по смыслу цитата, но не нашел.


    1. Ununtrium
      23.09.2015 15:37

      Драматичнее.


  1. M_Muzafarov
    23.09.2015 10:42

    ios9.0, iphone6, цифровой пароль с неограниченным числом символов — доступа получить не удалось.

    Но что интересно, я могу спросить Сири о своих контактах и получить всю инфу о них, хотя прочие запросы (заметки, почта) просят разблокировки.


  1. TimTowdy
    24.09.2015 17:20

    https://habrastorage.org/files/87f/fb0/2ba/87ffb02ba54947ca9b404497976f814a.gif