Компания Apple сообщила об обнаружении в фирменном приложении Walkie-Talkie / «Рация» умных часов Apple Watch уязвимости, которая позволяла подслушивать других пользователей iPhone. Никаких подробностей компания не предоставила, ограничившись тем, что для ее использования необходимы некие «специфические условия и четкая последовательность действий». Также Apple сообщила, что она не знает ни об одном случае успешного использования этой уязвимости для несанкционированного взлома и прослушивания устройств пользователей.
В соответствующем заявлении журналистам TechCrunch представитель Apple сообщил, что инженеры компании устранили опасность сразу как только узнали о ее существовании. В целях безопасности компания временно отключила функцию и обещает перезапустить ее сразу, как это станет возможным. Очевидно, что это произойдет, как только Apple убедится, что проблема полностью устранена.
Функция рации Walkie-Talkie дебютировала в прошлом году с операционной системой watchOS 5. Она позволяет общаться по голосовой связи с помощью часов, выступая своего рода версией FaceTime, и работает на всех моделях умных часов Apple Watch, кроме самой первой.
Примечательно, что в начале года в ПО Apple FaceTime находили похожую уязвимость, которая позволяла подслушивать и подсматривать за собеседником до того, как тот примет вызов. Тогда Apple выпустила соответствущее исправление за неделю, но потом потребовалось еще одно исправление, так как первое содержало ошибку другого характера.
Еще один примечательный факт — об уязвимости в Walkie-Talkie была объявлено в один день с выпуском «тихого» обновления macOS, удаляющего веб-сервер Zoom с критической уязвимостью. Проблему в Zoom обнаружил исследователь в сфере кибербезопасности Джонатан Лейтшу, сообщив о ней компании в марте 2019 года. Изначально Zoom не признала проблему, назвав ее «отличительной особенностью», позволяющей пользователям присоединятся к звонкам «в один клик». Но после того, как история попала в СМИ, компания публично извинилась и выпустила экстренный патч. Он полностью удаляет локальные веб-сервера на macOS, из-за которых владельцы вредоносных веб-сайтов могли принудительно запускать приложение видеосервиса с активированной камерой. До обновления сервера работали на компьютерах даже после удаления клиента Zoom.
Источник: The Verge