Seorang peneliti keamanan telah menerbitkan rincian teknik bypass lockscreen baru yang dapat digunakan untuk mengakses iPhone (terbuka di tab baru) konten tanpa memberikan kode sandi atau bentuk autentikasi lainnya.
Teknik ini menyalahgunakan keanehan dalam layanan Siri dan VoiceOver Apple dan dapat memungkinkan penyerang mengambil informasi yang disimpan di aplikasi iPhone Notes, di mana pengguna diketahui menyimpan kredensial akun dan informasi sensitif lainnya.
Di sebuah menciak (terbuka di tab baru) diterbitkan minggu lalu, peneliti Jose Rodriguez menjelaskan kerentanan hadir di iOS 14.8 dan pra-peluncuran iOS 15 (terbuka di tab baru) kandidat rilis. Dia sejak itu juga mengkonfirmasi bahwa build iOS 15 publik, yang tiba kemarin, mengalami masalah yang sama.
Kontroversi hadiah bug Apple
Menurut Rodriguez, keputusan untuk mengungkapkan bug iPhone pada hari peluncuran iOS 15 sangat disengaja, dibuat sebagai protes terhadap standar program bounty bug Apple.
Ini adalah kedua kalinya Rodriguez menemukan kerentanan iPhone semacam ini. Dalam contoh sebelumnya, dia melaporkan masalah tersebut langsung ke Apple, tetapi tidak terkesan dengan cara perusahaan menangani pengungkapannya dan kompensasi yang dia terima.
“Apple menilai laporan masalah seperti ini hingga $25.000,” tulisnya, mengacu pada kerentanan terbaru. “Tetapi untuk melaporkan masalah yang lebih serius, saya diberi $5.000.”
Di sebuah twit nanti (terbuka di tab baru)dia menjelaskan bahwa dia telah memutuskan untuk mengungkapkan kerentanan baru secara publik “dengan harapan Apple menyadari bahwa laporan bug keamanannya sangat bermanfaat, dan mempertimbangkan kembali hadiahnya (sic)”.
Ini bukan pertama kalinya dalam beberapa minggu terakhir program hadiah bug perusahaan mendapat kecaman. Awal bulan ini, laporan muncul (terbuka di tab baru) dari tumpukan besar bug yang tidak diperbaiki dan frustrasi umum di antara para profesional keamanan yang telah terlibat dengan Apple.
TechRadar Pro telah meminta Apple untuk mengomentari kritik terhadap programnya, tetapi perusahaan tersebut belum menanggapi.
Melalui TheRecord (terbuka di tab baru)