אפל בשנת 2016 פרסמה תיקון עבור ניצול iOS מבוסס אתר שיכול היה לאפשר להאקרים לאסוף נתוני חיישנים ממכשירי אייפון, ואולי ללמוד דברים רבים על המטרות שלהם - אפילו קודי הגישה שלהם, חשפו חוקרים השבוע. [עודכן עם הבהרת אפל]
ממצאיםמְשׁוּתָףעל ידי החוקרים, המבוסס באוניברסיטת ניוקאסל בבריטניה, ציינו כי דפדפני אינטרנט אינם צריכים לבקש רשות עבור רוב נתוני החיישנים, וכי ניתן להשתמש בנתוני תנועה במיוחד כדי לאמוד מה מישהו עושה בטלפון שלו. באמצעות ניתוח, ניתן היה לפצח קוד PIN בן ארבע ספרות עם דיוק של 70 אחוז בניחוש הראשון, ולהגיע ל-100 אחוז דיוק עד החמישי.
ניצול JavaScript שימש להפעלת התוכנה הזדונית הדרושה לאיסוף נתונים.
חברות כמו אפל וגוגל קיבלו התראה על הבעיה, ולפחות אפל ספארי ומוזילה פיירפוקס תוקנו "חלקית", לפי ניוקאסל. עם זאת, האוניברסיטה הזהירה כי היא "עדיין עובדת עם התעשייה" על פתרון מקיף, ושאנשים המודאגים מהפרטיות שלהם צריכים לעשות דברים כמו לשנות מספרי PIN וסיסמאות באופן קבוע, לשמור את המכשירים שלהם מעודכנים ולסגור אפליקציות רקע שהם עושים. לא צריך.
אומרים שגוגל מודעת לבעיה, אך ללא כל תיקון עד כה.
תיקון התוכנה של אפל הגיע עםiOS 9.3, שוחרר במרץ בשנה שעברה. העדכון הזה הציג גם Night Shift ו-Notes מאובטחים, תוך פתרון פער אבטחה ב-iMessage. זה התגלה כבעייתי בפני עצמו, ויצר בעיות עםנעילת הפעלהוקישורי אינטרנטשאפל נאלצה לתקן תוך זמן קצר.
לְעַדְכֵּן:אפל יצרה קשרAppleInsiderלהזכיר שהחוקרים המדוברים מצוטטים ב-iOS 9.3הערות אבטחה.
