ช่องโหว่ในระบบ iOS 13 สามารถเผยข้อมูลติดต่อของผู้ใช้งานได้ แม้ว่า Apple จะรู้ปัญหาดังกล่าวตั้งแต่เดือนกรกฎาคมแล้ว

ช่องโหว่ในระบบปฎิบัติการโทรศัพท์มือถือไอโฟนเวอร์ชั่นล่าสุด iOS 13 ที่ทาง Apple เปิดให้ใช้งานเมื่อวันพฤหัสบดีที่ผ่านมา สามารถเปิดเผยข้อมูลติดต่อภายในโทรศัพท์มือถือไอโฟนได้ โดยไม่จำเป็นต้องใช้ใช้รหัสผ่านหรือการยืนยันทางชีวภาพ (เช่นระบบสแกนลายนิ้วมือ หรือระบบจดจำใบหน้า) และทาง Apple ได้รับทราบเกี่ยวกับปัญหาดังกล่าวตั้งแต่เดือนกรกฎาคมที่ผ่านมาแล้ว จากรายงานของผู้ใช้งานรายหนึ่งที่ให้สัมภาษณ์เรื่องข้อผิดพลาดทางระบบกับสำนักข่าว CNN Business แฮ็คเกอร์จำเป็นต้องอาศัยการเจาะระบบด้วยการเข้าถึงมือถือของเหยื่อโดยตรง หากมือถือเครื่องนั้นๆ อยู่ในเงื้อมมือของเหล่าแฮ็คเกอร์แล้ว แฮคเกอร์สามารถทำการโอนถ่ายระบบมาตรฐานความปลอดภัยของ Apple เช่น ระบบจดจำใบหน้า (Facial I.D) หลังจากที่ย้ายข้อมูลเสร็จ แฮ็คเกอร์สามารถเข้าถึงข้อมูลรายชื่อโทรศัพท์ ข้อมูลที่อยู่ต่างๆ ภายในโทรศัพท์มือถือได้ รวมถึงข้อมูลผู้ติดต่อล่าสุดที่ผู้ใช้งานติดต่ออีกด้วย Jose Rodriguez ผู้สนใจในระบบความปลอดภัยออนไลน์ อาศัยอยู่ที่ Canary Islands ได้ติดต่อกับทาง Apple เมื่อวันที่ 3 เดือนกรกฎาคม พร้อมชี้แนะว่าเขาได้พบกับวิธีการบายพาสรหัสผ่าน และถามกับทางบริษัทว่าการค้นพบของเขานั้นจะเข้าข่ายเหมาะสมหรือไม่กับ Apple Security Bounty ระบบรายงานช่องโหว่ด้านความปลอดภัยหรือความเป็นส่วนตัวที่ทาง Apple จะมอบรางวัลให้กับผู้ที่สามารถรายงานปัญหาด้านความปลอดภัยได้

Apple ติดตามการรายงานของ Rodriguez ทันทีและได้มีสายเรียกจากพนักงาน Apple หลายสายติดต่อมาระหว่างที่ Rodriguez ใช้งานระบบปฎิบัติการ iOS 13 ช่วงทดลองอยู่ Rodriguez นำบันทึกหลักฐานการพูดคุยทางโทรศัพท์และทางอีเมล์ระหว่างเขากับ Apple ให้กับสำนักข่าว CNN Business หลังจากที่สงสัยว่าทาง Apple คงจะไม่ดำเนินการแก้ไขช่องโหว่ก่อนที่จะปล่อยระบบปฏิบัติการรุ่นล่าสุดให้กับผู้ใช้งาน Rodriguez จึงนำข้อมูลของเขาออกมาเผยแพร่สู่สาธารณะ Apple ยืนยันว่าปัญหาดังกล่าวที่ Rodriguez ค้นพบจะได้รับการแก้ไขในระบบปฏิบัติการเวอร์ชั่นถัดไป iOS 13.1 ที่จะออกในวันที่ 24 กันยายน ก่อนหน้านี้ Apple ได้เลื่อนการเปิดตัวระบบปฏิบัติการเวอร์ชั่น iOS 13.1 ไปในวันที่ 30 กันยายน อย่างไรก็ตามทาง Apple ปฎิเสธถึงกรณีที่ Rodriguez ค้นพบช่องโหว่อาจเป็นสาเหตุที่ทำให้ทางบริษัททำการเลื่อนกำหนดการปล่อยระบบปฎิบัติการเวอร์ชั่นนี้ก่อนล่วงหน้า

 

A flaw in iOS 13 can expose your contact details, even though Apple was alerted about the problem in July

A flaw in iOS 13, the new iPhone operating system Apple released Thursday, exposes contact details stored in iPhones without requiring a passcode or biometric identification. And Apple (AAPL) has known about the flaw since July, a person who reported the bug to Apple told CNN Business. A hacker would need physical access to a target’s phone to complete the hack — but once it is in their possession they could bypass Apple’s standard security features like facial I.D. Once they have done so, they can access the phone’s address book and see information for contacts stored on the phone, as well as indications of the most recent contacts with whom the phone’s owner had been communicating. Jose Rodriguez, a cybersecurity enthusiast, living in the Canary Islands,  contacted Apple on July 3rd suggesting that he had found a “passcode bypass” and asked if his findings would be eligible for an Apple Security Bounty — a program that rewards security researchers who bring bugs to Apple’s attention.

Apple promptly followed-up on Rodriguez’s tip and company staff had several calls with the researcher during which he walked them through the vulnerability on a beta version of the software, Rodriguez said. Rodriguez provided copies of the emails and phone records of his correspondences with Apple to CNN Business. Suspecting Apple might not fix the flaw before releasing the new operating system to its customers, Rodriguez last week went public with his findings.

Apple confirmed that the exploit Rodriguez identified would be fixed in the next version of the operating system, iOS 13.1, which is due to be released on September 24th. The company previously moved the release date for that update forward from September 30th. The company declined to say if Rodriguez’s discovery had prompted the early release.

SOURCE : CNN BUSINESS