VoiceOver è una funzione di accessibilità molto importante per coloro hanno difficoltà visive, in quanto gli permette di poter utilizzare gli iPhone e gli iPad senza quasi alcuna difficoltà. Tuttavia, un recente bug scoperto nel codice di VoiceOver può portare a potenziali attacchi hacker con il furto delle foto scattate dalla fotocamera.
Come ha spiegato l’hacker amatoriale Jose Rodriguez alla redazione di AppleInsider, l’iPhone da colpire riceve prima una chiamata da un numero esterno, che attiva un dialogo standard per le chiamate iOS. Se l’utente malintenzionato non conosce il numero dell’iPhone da colpire, può acquisire le informazioni sull’ID chiamante invocando Siri e chiedendo all’assistente di chiamare il proprio telefono personale cifra per cifra.
Nel suo video dimostrativo, Rodriguez tocca l’opzione “Message” nella schermata di chiamata di iOS e seleziona “Custom” per visualizzare l’interfaccia utente di Messaggi. Dopo aver inserito alcune lettere casuali nella casella di testo, invoca nuovamente Siri per attivare VoiceOver.
Tornando a Messaggi, Rodriguez tocca l’icona della fotocamera e, mentre invoca Siri con il pulsante laterale di iPhone, tocca due volte lo schermo per attivare quello che sembra essere un conflitto a livello di sistema. Mentre questo particolare passaggio deve essere eseguito con un certo livello di precisione, un attaccante può ripetere il processo più volte fino a ottenere l’effetto desiderato.
Una schermata nera viene visualizzata quando viene soddisfatta la condizione di errore. Come dimostra Rodriguez, tuttavia, lo strumento di selezione del testo di VoiceOver è in grado di accedere alle opzioni dell’interfaccia utente “nascoste” attraverso i tipici gesti di navigazione. Facendo scorrere verso sinistra sullo schermo vuoto, Rodriguez porta a “Libreria Foto” che, se selezionato toccando due volte, lo riporta all’app Messaggi.
Il drawer delle app sotto la casella di inserimento del testo è vuoto, ma lascia attivo il pulsante di compressione della scheda app. Toccando su tale elemento e scorrendo verso destra viene concesso a VoiceOver un accesso invisibile alle foto di un dispositivo obiettivo, i cui dettagli vengono letti ad alta voce dal sistema.
Scorrendo la libreria fotografica, che è apparentemente oscurata dall’interfaccia utente di Messaggi, e toccando due volte su una determinata foto, l’immagine viene inserita nella casella di testo Messaggi. In questo modo è possibile inserire, visualizzare e inviare più foto al dispositivo di un utente malintenzionato.
🛍 Iscriviti gratis ai migliori gruppi Telegram dedicati alle Offerte Tech e alle Offerte Casa 🔥