Уязвимость сервиса Apple аудио- и видеозвонков FaceTime позволяла пользователям активировать звонок другому пользователю, не дожидаясь ответа от него, сообщает 9to5Mac. При этом звонящий мог получать аудио и видео от пользователя. Компания уже признала наличие проблемы и отключила сервис групповых звонков, а также пообещала выпустить обновление с устранением уязвимости до конца недели.
FaceTime — это сервис аудио- и видеозвонков, разработанный Apple для своих компьютеров и мобильных устройств. Изначальная версия, представленная в 2010 году, поддерживала лишь видеозвонки, а в 2013 году была представлена функция аудиозвонков. В 2018 году с выходом iOS 12 и macOS 10.14 Mojave была представлена групповая версия сервиса, позволяющая общаться одновременно 32 пользователям. Из-за этого компании пришлось серьезно переработать как интерфейс приложения, который динамически меняется в зависимости от того, кто из пользователей говорит в конкретный момент, так и технические аспекты взаимодействия множества пользователей.
В конце января пользователи обнаружили, что функция групповых звонков была реализована с ошибкой, позволяющей звонящему подслушивать других пользователей без их ведома. Уязвимость проявлялась следующим образом. Пользователь совершает видеозвонок другому пользователю, и до того, как принимающий человек ответил на звонок, вызывающий может добавить к звонку других людей. Выяснилось, что если в качестве дополнительного пользователя звонящий добавляет свой номер телефона, сервис воспринимает это как активацию звонка и начинает передавать звук от принимающего человека, даже если он еще не успел ответить на звонок. Еще одна особенность уязвимости заключается в том, что если после этого принимающий человек нажмет кнопку громкости или выключения, чтобы отклонить звонок, сервис вместо этого начнет транслировать звонящему видео в дополнение к аудио.
Компания Apple заявила, что до конца недели выпустит обновления программного обеспечения, исправляющие эту уязвимость. Кроме того, согласно странице состояния сервисов компании, сервис FaceTime работает с неполадками, а пользователи отмечают, что функция групповых звонков стала недоступна. По-видимому, компания решила отключить сервис до выпуска обновлений.
Ранее пользователи Apple сталкивались с другими легко доступными критическими уязвимостями. К примеру, в 2017 году в macOS обнаружили уязвимость, позволяющую любому пользователю получить доступ к учетной записи суперпользователя. Для этого было достаточно всего лишь ввести в поле имени пользователя «root» и два раза нажать кнопку ввода. Кроме того, незадолго до этого в той же версии системы обнаружили другую ошибку, связанную с вводом паролей. Если пользователь просил показать подсказку при попытке доступа к зашифрованному носителю, система показывала не подсказку, а сам пароль.
Григорий Копиев
Что такое опенсорс и почему он важен для IT-индустрии
Наверняка вам доводилось слышать выражение «опенсорс». Может быть, вы даже понимаете, что под этим термином скрывается «программное обеспечение с открытым исходным кодом». Но какие возможности такая открытость дает разработчикам и почему может быть выгодна обыкновенным пользователям? Рассказываем о разработке и значимости опенсорс-проектов.