Po aferze z hasłem root, Apple notuje kolejną poważną wpadkę z zakresu bezpieczeństwa, tym razem dotyczącą niedawno wprowadzonej usługi grupowego FaceTime’a. Błąd pozwala wymusić przez dzwoniącego połączenie z rozmówcą bez jego wiedzy. Pikanterii całej sprawie dodaje fakt, że afera wybuchła 28 stycznia, który został ogłoszony Dniem Prywatności Danych (Data Privacy Day). Apple obiecało naprawić tę usługę jak najszybciej, a doraźnie wyciągnęło wtyczkę w serwerach za nią odpowiedzialnych.

Aby „wywołać” błąd należało przeprowadzić następujące czynności:

• włączyć FaceTime Video i wybrać rozmówcę;

• w czasie oczekiwania na odebranie rozmowy wysunąć dolne menu i dodać własny numer telefonu.

Połączenie głosowe było natychmiast nawiązywane, ale po stronie osoby do której dzwonimy wszystko wygląda tak, jakby urządzenie oczekiwało na ruch użytkownika. Co więcej, na kilka sposobów można było aktywować przesyłanie obrazu video. Bug występuje zarówno w przypadku systemu iOS, jak i macOS, a łatwość z jaką da się go wywołać, każe zadać pytanie czy ktoś w ogóle testował to oprogramowanie przed wrzuceniem na rynek.

Poniżej film przygotowany przez ekipę MacRumors dokumentujący całą „procedurę” i jej efekty:

Jak już wspomniałem we wstępie, Apple w odpowiedzi wyłączyło całą usługę i zapowiedziało że wypuści łatkę do końca tygodnia.

Źródła: Bloomberg; MacRumors