Zespół ds. bezpieczeństwa Sevco odkrył lukę w zabezpieczeniach nowej funkcji „iPhone Mirroring”, która umożliwia wyświetlanie ekranu iPhone'a na komputerze Mac. Luka ta naraża pracodawców na ujawnienie danych użytkowników. Jest to nowa funkcja wprowadzona przez Apple w systemach iOS 18 i macOS Sequoia.
Gdy użytkownik użyje tej funkcji, na komputerze Mac zostanie utworzony folder zawierający informacje o używanych aplikacjach iPhone'a.

Mimo że konkretna zawartość aplikacji nie zostaje ujawniona, atakujący może nadal uzyskać dostęp do listy aplikacji zainstalowanych na iPhonie poprzez automatyczną inspekcję sieci. Może to stwarzać zagrożenie dla prywatności, zwłaszcza w środowiskach biurowych, gdzie aplikacje, z których pracownicy korzystają na swoich prywatnych telefonach, mogą być udostępnione pracodawcom.
Firma Sevco powiadomiła Apple o luce w zabezpieczeniach i zaleca użytkownikom tymczasowe zaprzestanie korzystania z funkcji iPhone Mirroring na komputerach Mac w pracy, dopóki Apple nie wyda poprawki.
Ujawnienie informacji o aplikacjach zainstalowanych na iPhonie użytkownika może mieć poważne konsekwencje, takie jak:
Pracodawcy mogą być stronniczy wobec pracowników ze względu na aplikacje, z których korzystają, np. aplikacje randkowe, aplikacje dotyczące zdrowia psychicznego itp.
Niektóre aplikacje mogą być ograniczone lub zakazane w niektórych krajach.
Jeśli pracodawca zostanie przyłapany na gromadzeniu danych osobowych pracowników bez ich zgody, może mieć kłopoty prawne.
Miejmy nadzieję, że Apple wkrótce usunie tę lukę w zabezpieczeniach, aby chronić prywatność użytkowników.
iOS 18 ma tajemniczy błąd, iPhone odczytuje hasła użytkowników na głos
Odkryto poważną lukę w zabezpieczeniach systemów iOS 18 i iPadOS 18, która umożliwia funkcji VoiceOver odczytywanie zapisanych haseł. Stanowi to zagrożenie dla prywatności użytkowników i budzi poważne obawy dotyczące bezpieczeństwa informacji w branży technologicznej.

Błąd zidentyfikowany za pomocą kodu CVE-2024-44204 jest błędem logicznym w nowej aplikacji menedżera haseł. Możliwość odczytania hasła użytkownika przez VoiceOver może ujawnić jego dane osobowe, umożliwiając nieautoryzowany dostęp do konta.
Ten błąd dotyczy wielu modeli iPhone'a i iPada, w tym iPhone'a X oraz modeli iPada, takich jak iPad Pro i iPad Air od trzeciej generacji w górę.
Aby naprawić ten poważny błąd, firma Apple szybko wydała aktualizacje iOS 18.0.1 i iPadOS 18.0.1. Jednocześnie firma potwierdziła, że wdrożyła bardziej rygorystyczne testy, aby mieć pewność, że VoiceOver nie będzie już w stanie odczytać haseł użytkowników.
Oprócz błędu VoiceOver w wersji iOS 18 wystąpiło również wiele innych problemów, takich jak błąd CVE-2024-44207 dotyczący nowych modeli iPhone'a 16, który umożliwiał nagrywanie wiadomości głosowych bez powiadamiania użytkownika o aktywności mikrofonu. Na szczęście problem ten został już rozwiązany.
Luka w zabezpieczeniach VoiceOver została odkryta przez niezależnego badacza Bistrita Dahę. Pojawienie się tych luk w zabezpieczeniach podkreśla, jak ważne jest regularne aktualizowanie urządzeń przez użytkowników, a także pokazuje wartość niezależnych audytów bezpieczeństwa w wykrywaniu i naprawianiu tego typu problemów.