Beveiligingsonderzoeker Jose Rodriguez ontdekt een nieuwe kwetsbaarheid in iOS 14 en 15 waarbij iemand toegang kan krijgen tot de notities van een iPhone zonder het wachtwoord in te hoeven vullen, zo deelt hij op Twitter. Rodriguez heeft niet gewacht met het delen ervan tot de kwetsbaarheid gerepareerd is, wat doorgaans wel gedaan wordt bij dergelijke exploits. Naar eigen zeggen is hij teleurgesteld over de matige betalingen die hij van Apple ontvangt via het bug bounty program.
In de onderstaande video is te zien hoe de beveiligingsonderzoeker in het reeds uitgebrachte iOS 15-besturingssysteem via Siri toegang kan krijgen tot zijn notities zonder daar een wachtwoord voor te hoeven invoeren. Dit doet hij door Siri te vragen om VoiceOver aan te zetten en via de taakbalk zijn notities te openen. Zoals gewoonlijk krijg je bij een niet ontgrendelde iPhone in dat geval lege notities te zien. Daarna opent hij via het menu de stopwatch en lijkt hij een specifieke combinatie van swipebewegingen te maken. De Notities-app is nu op de achtergrond geopend, zo lijkt de VoiceOver te bevestigen. Wanneer hij het proces opnieuw begint, heeft hij vervolgens een kopie van bestaande notities en toegang tot berichten en oproepen.
Rodriguez stelt dat er voor een dergelijke kwetsbaarheid beloningen tot 25.000 USD uitgereikt worden door Apple. Hij zou daarentegen recentelijk een ernstigere kwetsbaarheid hebben gemeld, waar hij slechts 5000 USD voor kreeg. Er wordt regelmatig kritiek geuit op Apple's bounty-beleid en met de openbaring van de betreffende kwetsbaarheid wil Rodriguez en statement maken tegen wat volgens hem veel te lage bug-beloningen zijn.
Bronnen: Jose Rodriguez (Twitter), via TechRadar
