Обход экрана блокировки в iOS предоставляет доступ к контактам и фото

Олег Иванов 18 Ноября 2016 - 09:01

Домашние пользователи

...

Предстоящие обновления iOS от Apple, вероятно, будут включать в себя исправление обнаруженного недавно метода обхода экрана блокировки. Благодаря этому методу можно получить доступ к контактам и фотографиям пользователей iPhone и iPad.

Эта брешь была обнаружена людьми, стоящими за каналами EverythingApplePro и iDeviceHelp на YouTube. Чтобы использовать эту уязвимость требуется физический доступ к устройству и включенная Siri на заблокированном экране.

Во-первых, злоумышленнику нужно выяснить телефонный номер атакуемого устройства, это легко сделать, задав Siri вопрос «Кто я?». После того, как Siri предоставит информацию, злоумышленник может инициировать звонок на атакуемое устройство.

Когда вызов поступит, злоумышленнику нужно будет нажать на “Message” и выбрать опцию “Custom”. На iPhone или iPad затем должен появиться экран "новое сообщение" (new message). Не так уж много можно сделать из этой опции, однако злоумышленник может прибегнуть к следующей уловке – можно активировать Siri, чтобы получить доступ к VoiceOver, затем дважды нажать и удержать поле «кому» и сразу же нажать на клавиатуру, должны появиться новые иконки.

Эта часть эксплоита не очень надежна – в некоторых случаях приходится повторять процедуру с полем «кому» и клавиатурой несколько раз, до того момента, пока не появятся новые иконки.

Следующим этапом злоумышленник может нажать любую букву с клавиатуры, и появятся контакты, начинающиеся на эту букву. Далее становится легко получить доступ к информации о контакте, а также вызвать меню, включающее в себя опцию «Создать новый контакт».

Создавая новый контакт и используя функцию «добавить фото», злоумышленник получает доступ к фотографиям на устройстве. Стоит отметить, что все это время iPhone или IPad остается заблокированным.

Судя по всему, уязвимость затрагивает версии iOS от 8.0 и до 10.2. На YouTube были опубликованы видео от каналов EverythingApplePro и iDeviceHelps, показывающие, как этот метод работает на разных устройствах.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 15 Января 2026 - 14:59

Indeed Privileged Access Manager Корпорации Контроль привилегированных пользователей (PAM) Компания Индид

Indeed PAM 3.3 упрощает и усиливает контроль привилегированного доступа

Компания «Индид» представила обновлённую версию системы управления привилегированным доступом Indeed Privileged Access Manager 3.3. В новом релизе разработчик сосредоточился на том, чтобы сделать работу с привилегированными учётными записями одновременно безопаснее и удобнее — с упором на веб-доступ, упрощённое управление сессиями и более гибкий контроль.

Одним из ключевых нововведений стал компонент Web-Proxy, который открывает защищённый доступ к веб-приложениям прямо через браузер.

Для этого больше не требуется Microsoft RDS: компонент разворачивается на Linux-хостах и создаёт изолированную среду для работы с HTTPS-ресурсами. Пользователь запускает нужный веб-сервис напрямую из User Console, а администратор при этом может загрузить SSO-шаблон для автоматического заполнения учётных данных. В итоге пользователь получает быстрый доступ, не видя пароля, а безопасность остаётся на высоком уровне.

Ещё одна заметная новинка — компонент Web-терминал, который позволяет подключаться к RDP- и SSH-ресурсам напрямую из браузера. Устанавливать отдельные клиентские приложения больше не нужно: сессия запускается из User Console в пару кликов. Такой подход особенно удобен в сценариях удалённой работы и при предоставлении доступа подрядчикам, когда важны простота и контроль.

Для администраторов в Management Console появился полноценный дашборд. Он позволяет в реальном времени отслеживать ключевые показатели работы системы и активность пользователей.

На панели собрана статистика по сессиям, правам доступа, учётным записям, неудачным попыткам аутентификации, лицензиям, просмотрам учётных данных и другим событиям. Каждый виджет ведёт в соответствующий раздел системы, что упрощает разбор инцидентов и анализ происходящего.

Разработчик также расширил возможности модуля доступа к базам данных. В Indeed PAM 3.3 появилась поддержка Microsoft SQL Server благодаря новому компоненту MSSQL Proxy. Он реализован по тем же принципам, что и PostgreSQL Proxy, что делает работу с разными СУБД более единообразной и снижает нагрузку на администраторов.

Кроме того, в новой версии реализована возможность открывать сессию без повторной аутентификации. Пользователь может один раз подключиться к ресурсу по скачанному RDP-файлу или скопированной команде, не вводя учётные данные повторно. Это экономит время и одновременно снижает риски, связанные с лишним вводом конфиденциальной информации.

Как отметил руководитель продукта Indeed PAM Михаил Елычев, компания последовательно развивает систему с учётом реальных задач заказчиков — от удалённой работы сотрудников до безопасного взаимодействия с подрядчиками. По его словам, новые возможности версии 3.3 помогают повысить уровень защищённости привилегированного доступа, упростить работу пользователей и обеспечить гибкость при реализации самых разных сценариев.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »