Wpadka Apple: przez głupi błąd Siri twoje prywatne wiadomości nie są prywatne
Apple popełnił fatalną pomyłkę w projektowaniu systemu zabezpieczeń iPhone’a. Okazuje się, że Siri bez cienia wstydu przy najbliższej okazji wypapla obcej osobie treść odebranych przez iOS powiadomień.
Aż trudno uwierzyć, że producent iPhone’a popełnił aż tak kardynalny błąd. Okazuje się, że ukrywanie treści powiadomień na ekranie blokady przy aktywnym asystencie głosowym Siri, nie ma żadnego sensu. Wścibski partner, złośliwy kolega, szef lub policjant bez problemu będą mogli poznać ich treść, bez podawania kodu blokady.
Siri nie wymaga autoryzacji użytkownika do odczytania treści powiadomień.
Wraz z premierą iPhone’a X twórcy systemu iOS zmienili sposób, w jaki zachowują się powiadomienia. Do tej pory domyślnie ich treść była widoczna w momencie wzięcia telefonu do ręki. W nowym telefonie są one zwinięte. Widać nazwę aplikacji, z której pochodzą i czas, jaki upłynął od ich odebrania. Rozwijane są dopiero, gdy Face ID zidentyfikuje posiadacza telefonu.
To jedna z fajniejszych funkcji nowego zabezpieczenia biometrycznego Apple’a. Działa w tle i nie przeszkadza na co dzień. W przypadku czytnika linii papilarnych można było taką funkcję włączyć, ale korzystanie z niej było upierdliwe - trzeba było za każdym razem przykładać paluch do czytnika. Face ID działa na tyle szybko, że można o tej funkcji zapomnieć.
Osoby postronne nie dobiorą się np. do treści ostatnich odebranych wiadomości - no chyba, że skorzystają z Siri.
Okazuje się, że zabezpieczenia Apple’a są dziurawe na poziomie koncepcyjnym, a ukrywanie treści powiadomień to pic na wodę. Chociaż Siri można nauczyć barwy swojego głosu, by reagowała na wezwanie Hey Siri wypowiedziane przez właściciela telefonu, to nie jest to funkcja związana z bezpieczeństwem.
W dodatku asystenta można włączyć również dłuższym przytrzymaniem przycisku blokady (iPhone X) lub Home (w starszych modelach). Tak wywołany asystent ochoczo odpowiada na komendy obcych ludzi, w tym na polecenie „przeczytaj moje ostatnie powiadomienia” wydane w języku angielskim.
Jak można było to przeoczyć?
Nie chciałem wierzyć, że ktoś popełnił aż taki błąd. Sprawdziłem to jednak na swoim prywatnym iPhonie. Doniesienia serwisu Mac Magazine się potwierdziły. Ta zdradziecka Siri w moim telefonie, chociaż rozmawiała z moją narzeczoną, radośnie zdradziła jej treść ostatnio odebranych przez iOS-a wiadomości.
Co ciekawe, problem dotyczy komunikatorów firm trzecich, ale nie systemowego iMessage. Narzeczona była w stanie przez Siri przechwycić treść wiadomości odebranych z Facebook Messengera, ale przy próbie odczytania wiadomości z komunikatora Apple’a asystent rżnął głupa i udawał, że żadnych powiadomień nie ma.
Co bynajmniej Apple’a nie usprawiedliwia.
Luka w zabezpieczeniach dotyczy systemu, a nie aplikacji firm trzecich i w pełni leży po stronie twórców iOS-a. Tym bardziej, że zmiana w iOS 11 wprowadziła domyślnie zwijanie powiadomień, dając użytkownikom płacącym za iPhone’a X grube pieniądze tylko złudne poczucie bezpieczeństwa.
Najbardziej ciekawi mnie, dlatego ten problem wypłynął dopiero teraz - skoro obecny jest pewnie od ostatniej aktualizacji, jeśli nie dłużej. Możliwe, że osoby, które odkryły tę dziurę, zachowywały tę informację dla siebie, by potajemnie szpiegować swoich znajomych, pracowników, partnerów i kochanków…
Jeśli cenicie swoją prywatność, powinniście wyłączyć Siri w ogóle. Przynajmniej póki Apple nie załata tej luki. Nie wiadomo jednak, czy i kiedy to się stanie. Problem występuje nie tylko w aktualnym stabilnym wydaniu systemu, ale też w iOS 11.3 w wersji beta.
