Двое хакеров-специалистов по безопасности получили награду в 50 тысяч долларов за найденную уязвимость, которая позволяет восстановить ранее удалённые фотографии или файлы в iOS.
Ричард Чжу (Richard Zhu) и Амат Кама (Amat Cama) объединились в команду Fluoroacetate на соревновании по безопасности Mobile Pwn2Own, который прошёл в Токио в среду. Они атаковали iPhone X с установленной свежайшей версией iOS 12.1, используя уязвимость в браузере Safari. Сами они использовали физический доступ к устройству, но убеждены, что тоже самое можно сделать и через «вредоносную» точку доступа Wi-Fi.
Как оказалось, удалённые фотографии оставались на накопителе. Когда пользователь удаляет фото с iPhone X, система обычно предупреждает, что эта фотография будет удалена из iCloud Photos на всех устройствах пользователя. После такого удаления фото можно найти в папке «недавно удалённые» и затем их можно восстановить или удалить окончательно, а не ждать их исчезновения до 40 дней.
Так вот хакеры нашли способ восстановить эти фото, вроде бы исчезнувшие окончательно из «недавно удалённых» с помощью уязвимости в JIT-компиляторе.
По правилам соревнования Apple уже проинформирована о найденной «дыре» в безопасности, но пока она не исправлена.