S ověřením držitele iPhonu si Siri starosti příliš nedělala. Ilustrační snímek

S ověřením držitele iPhonu si Siri starosti příliš nedělala. Ilustrační snímek | foto: apple.com

Siri obcházela zabezpečení iPhonů. Apple chybu vyřešil v tichosti

  • 16
Ochrana soukromých dat je kvůli sporu mezi FBI a Applem je v posledních týdnech žhavým tématem. Apple se kasá, že zabezpečení dat je pro něj zcela nedotknutelnou oblastí. Avšak hlasová asistentka v iPhonech zpřístupňovala kontakty a fotografie, a to komukoli.

Na bezpečnostní chybu hlasové asistentky Siri upozornil portál AppleInsider. Objevil ji Jose Rodriguez, který již loni v září upozornil na obdobnou bezpečnostní díru v iOS 9. Ta současná se dotkla pouze nejnovějších špičkových iPhonů (6s a 6s Plus) s iOS 9.3.1, jejichž uživatelé měli Siri nakonfigurovanou pro vyhledávání na twitterovém účtu a ve fotoaplikacích.

Tím se totiž nevědomky vystavili riziku zneužití osobních dat. Při vyhledávání na Twitteru totiž Siri vyžaduje ověření vlastníka iPhonu pouze při prvním použití. Pokud tedy výsledky dalšího hledání obsahovaly kontaktní data (např. e-mail), pak je bylo možné přidat k již existujícímu kontaktu bez nutnosti zadat heslo či ověřit otisk prstu. Kdokoli se tak mohl požadavkem na Siri, aby vyhledala něco na Twitteru (viz video níže), dostat nejen ke všem kontaktům, ale při snaze přiřadit kontaktu i fotografii také ke všem uloženým snímkům. Podle Rodrigueze je stejná skulinka v zabezpečení použitelná i při vyhledávání v kontaktech WhatsAppu.

Systémové chyby běžně řeší vydání opravného balíčku, na to však v tomto případě nedošlo. Možná i proto, že již krátce po uvolnění nového iOS 9.3 musel Apple vydávat první opravu. Vyžádalo si ji zamrzání systému, k němuž docházelo při používání internetového prohlížeče Safari po otevření náhodného odkazu (více zde).

Apple však k odstranění bezpečnostní chyby v hlasové asistentce zvolil jinou cestu, nový opravný balíček by byl totiž uvolněn jen pouhý týden po tom prvním. Podle informací portálu The Washington Post byla chyba opravena v úterý ráno. Podle mluvčího Applu byl problém vyřešen na straně serveru, díky čemuž nebylo nutné vydávat aktualizaci softwaru. Vydání dalšího opravného balíčku v tak rychlém sledu by totiž pro Apple nebylo příliš dobrou vizitkou.

Překvapivá je rychlost, s jakou Apple chybu vyřešil. V minulosti totiž problémy řešil až po řadě stížností ze strany uživatelů a na základě publikovaných článků. Mnozí uživatelé si však v tomto případě tohoto ohrožení svých soukromých dat patrně nevšimli. Každopádně nyní již přidání kontaktních údajů z Twitteru nalezených prostřednictvím Siri předchází ověření totožnosti držitele iPhonu.