Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 127 reacties
Submitter: feelfroow

Kwaadwillenden kunnen met een truc het lockscreen van iPhones omzeilen en foto's en contacten inzien zonder de beveiligingscode te hoeven invoeren. De truc is de zoveelste in een rij van zogenoemde lockscreen bypasses.

De truc die iDeviceHelp heeft gevonden, vereist dat gebruikers Facetime aan hebben staan en Siri laten functioneren op het lockscreen. In iOS 10 staat dat standaard aan en onder iOS 9 is uitschakelen geen optie. Tweakers heeft de lockscreen bypass kunnen verifiëren op een iPhone 6s met iOS 10.0.1. Op een iPhone 5 met iOS 9.3.5 lukte het niet. Het zou kunnen dat de truc wel werkt, maar dat het bij het exemplaar op de redactie niet lukte.

Om de truc uit te voeren, moet een kwaadwillende met Facetime de vergrendelde iPhone oproepen. Als de kwaadwillende de contactgegevens niet heeft, kan hij aan Siri vragen 'wie ben ik?', waarna Siri de contactgegevens van de gebruiker weergeeft. Daarna is het nodig om te antwoorden met een zelf aan te passen bericht. Vervolgens moet de gebruiker via Siri voice-over inschakelen. Tot slot is het nodig om dubbel te tikken op de contactpersoon en snel te tikken op het toetsenbord. Een rij met opties schuift dan tevoorschijn naast het invoerveld voor tekst.

Op dat moment heeft de vergrendelde telefoon de functie vrijgegeven om contacten te doorzoeken. Dat gebeurt door via letters op het toetsenbord een contact te zoeken. Door naast een contact op het i-icoon te klikken, is het mogelijk een nieuw contact aan te maken. Bij het toevoegen van een profielfoto aan dat nieuwe contact is het mogelijk door alle foto's op het apparaat te bladeren, zonder dat de vergrendeling eraf is.

De truc is de nieuwste in een lange rij van zogenoemde 'lockscreen bypasses' afgelopen jaren. De trucs maken allemaal gebruik van bugs in diverse functionaliteiten die bereikbaar zijn zonder de telefoon te ontgrendelen. Apple zou op de hoogte zijn van de bug, die zou werken op alle iPhones en iPads. Wanneer er een fix komt, is onbekend.

Moderatie-faq Wijzig weergave

Reacties (127)

Dit kan Apple toch heel snel oplossen zonder dat er een software update aan te pas moet komen? Siri deze instelling gewoon niet laten activeren. Ik geloof dat dit ook de oplossing was bij een vorige lockscreen bypass. Zonder dat er een software update beschikbaar kwam was het serverside opgelost.

Als ik zo zie hoe de truc werkt dan vraag ik me echt af hoelang deze gast hiernaar heeft gezocht :P

Edit//

Dit dus; nieuws: Exploit in Siri geeft toegang tot contacten en foto's op iPhone 6s - ...

Ook een exploit/bug in Siri en dit was toen ook opgelost zonder software update.

[Reactie gewijzigd door Erulezz op 17 november 2016 13:16]

Doe eens een voorstel over hoe Apple dit zou moeten oplossen zonder update?
Siri loopt via de servers van Apple, daar kun je dingen afvangen, en dat is ook al gebeurt bij een eerder issue. Maar in dit geval kam dat waarschijnlijk niet.
In dit geval kan het wel. Het voice-over aan en uit zetten via siri even onmogelijk maken. Dan rustig doorontwikkelen en pas een update lanceren als het voor meer nodig is. Zodra die update live is kan voice-over via siri weer aangezet worden.

Het enige wat je dan niet afvangt is dat toestellen die nog op 10.2 draaien dit lek nog hebben. Maar wie nu 10.2 heeft doe waarschijnlijk wel de moeite om elke update z.s.m. te installeren.

Dat is in ieder geval een stuk makkelijker dan morgen een weer een update moeten lanceren die alleen dit lek dicht
dus siri werkt enkel als uw telefoon online is? zou me verwonderen...
Je moet siri maar eens proberen gebruiken in vliegtuigmodus. Je krijgt de melding "netwerk niet beschikbaar" of iets soortgelijk.
Hetzelfde geldt voor google now en cortana, voor zover ik weet.
Cortona doet de basis dingen nog wel, maar dingen bevragen via internet zegt ze, I am sorry I can't connect right now.
Ja, Siri werkt alleen als de telefoon een internetverbinding heeft, anders krijg je een melding ipv de assistent. Waarom je een +1 voor een uiterst ongeinformeerde aanname... Tweakers please.

[Reactie gewijzigd door ItsNotRudy op 17 november 2016 15:13]

Zet de vliegtuigmodus dan maar eens aan en probeer Siri dan eens te gebruiken. Internet toegang is inderdaad een vereiste. Hetzelfde overigens met Google's assistent of Cortana.
Ok Google turn wifi on
werkt offline...
Dat is inderdaad een van de weinige commando's die werken. Maar om nou te zeggen dat je volledig gebruik kunt maken van de features...
Dat doet ie toch in zn post...

Siri serverside aanpassen waardoor die anders reageert op diezelfde vraag...
Een server-side aanpassing (van dus die siri software shizzle) is nog steeds een software update. Alleen niet voor de telefoons...
En hoe wil Apple dit oplossen zonder software update? Het is niet zo dat ze even de optie in je telefoon kunnen uitzetten of zo.
Maar Siri loopt wel via de systemen van Apple, dus daar kan het geweigerd worden.
Waarschijnlijk niet:
You can also receive helpful suggestions before you even ask, based on the things you use often and when you typically use them. These predictions are kept on your device, not in the cloud, so the information is protected by all the safeguards that are built in. Which means private information like your email, contacts, app usage, and calendar can stay private. Suggested events from Mail do not leave your device until they are confirmed by you, and only then are they added to your calendar.
Edit:
Gedownmod omdat het ongewenst is? Het leek me anders een vrij ontopic reactie. Of vertrouwen we Apple's privacy policy niet?

[Reactie gewijzigd door Q-collective op 17 november 2016 13:25]

Als dat al zo zou zijn is het maar voor een deel van de Siri opdrachten.
Een groot deel staat (nog) niet op de phone.
Goed voorbeeld was het "Hey Siri, wanneer is de derde wereld oorlog?" geintje wat Apple een paar weken geleden in Siri had zitten. Die was ook verdwenen zonder een update.
Meestal komen ze dit soort dingen per toeval tegen door veel te proberen of door gebruik :)
Wel mooi als het inderdaad mogelijk is om te fixen zonder een telefoon update.
Op iOS 10.1.1.1 (Meest recente versie) krijg ik het al niet voor elkaar. Hij laat geen informatie zien over hoe ik mijn toestal kan bereiken dmv facetime.
De instellingen is volgens mij expres aangemaakt zodat de eerlijke vinder weet bij die die moet zijn als de telefoon verloren is? Lijkt me tenminste een logische verklaring voor die functie. Voor de rest lijkt me het totaal overbodig en niet echt praktisch.
It just works!
Geen enkel systeem is onfeilbaar. Wel jammer dat er al zo veel manieren zijn geweest en nu weer om het lockscherm te omzeilen. Ik ben dan ook geen fan op wat voor OS dan ook dat je zaken kan zien of doen vanuit een lockscherm.
Dat kan je dan ook allemaal uitzetten. Opgelost.
Ja, geweldig! Alleen staat dat standaard dus niet uit en is iedereen standaard dus vatbaar voor dit soort dingen.

-edit, ter verduidelijking-
Ik heb het over de informatie die op een lockscreen wel standaard wordt weergeven (zoals whatsapp). De Google Siri variant staat ook bijvoorbeeld niet standaard aan.

[Reactie gewijzigd door RadioKies op 17 november 2016 13:06]

Als je een iPhone voor het eerst gebruikt word gevraagt of je Siri wilt gebruiken. Je moet dan een keuze maken. Het staat dus niet standaard aan.
Geweldig.. Oordelen over iets waar je totaal geen verstand van hebt _/-\o_

Je moet er eerst toestemming voor geven, voor de duidelijkheid.
Bij elke app word volgens mij gevraagd of hij notificaties mag sturen als je het voor het eerst gebruikt. Dan kun je ja of nee zeggen. En daarna het is super eenvoudig per app of voor alles aan/uit te zetten.
Je kunt ook geen telefoon nemen. Dan is het ook opgelost.
Sorry iets uitzetten is niet echt een oplossing. Je koopt een toestel vanwege de functionaliteit.
Het ging zich over de originele opmerking van RadioKies:

"Ik ben dan ook geen fan op wat voor OS dan ook dat je zaken kan zien of doen vanuit een lockscherm."

Als je daar geen fan van bent, dan kun je het dus uitzetten. Ik had het niet over het feit dat het de beste oplossing is voor het feit dat hier een omweg mogelijk is. Want daar ben ik van mening over dat Apple dit zsm moet oplossen.
Je kunt helaas niet alles uitzetten. Ik zie geen enkele mogelijkheid om uit te zetten dat ik vanaf het lock screen naar links kan vegen om de camera te openen, en zo dus bijvoorbeeld de storage vol te spammen met ongewenste foto's.
Wel nog redelijk wat handelingen nodig.. het is niet 'zomaar even'.

Ben benieuwd of Android met al z'n talloze varianten en fabrikantenskins niet ˇˇk dergelijke "lekken" bevat.
Het is maar hoe je het bekijkt. In mijn ogen doe je het wel "zomaar even" het is geen hogere wiskunde en elk leek kan het met dit stappenplan doen.
Je moet aan redelijk wat voorwaarden voldoen.. de juiste iPhone, iOS 10, Siri moet al weten wie je bent adhv contactgegevens, Siri moet al aanstaan op het lockscreen (standaard of niet...) etc..
Gelukkig staat Siri hier uit op het lockscreen. Dit is eenvoudig in te stellen:
Instellingen > Touch ID en toeganscode > Vul je toegangscode in > Zet bij 'Toegang bij vergrendeling' de optie Siri uit.

Zie hier een foto van hoe de instelling moet staan m.b.t. Siri. :-)

[Reactie gewijzigd door Markimoo op 17 november 2016 12:50]

Kan ook hier zonder wachtwoord: Instellingen → Siri → ‘Toegang bij vergrendeling’. ;)
Je hebt helemaal gelijk Eitot, bedankt voor de tip. ;)
Wow @ dat stappenplan. Hoe kom je daar in godsnaam achter 8)7

Gelukkig betreft het geen ernstig lek. En van vele, zo niet alle lockscreenbugs die we de afgelopen jaren hebben gezien, is fysieke toegang tot de iPhone nodig. En persoonlijk laat ik hem nooit onbeheerd achter. Alleen thuis...
Maar veel mensen zijn banger dat huisgenoten dingen op hun telefoon zien dan volstrekte vreemden :-)
Tweakers heeft de lockscreen bypass kunnen verifiŰren op een iPhone 6s met iOS 10.0.1.
Heeft Tweakers de bypass ook kunnen verifiŰren op een iPhone met iOS 10.1.1?
Ik heb het geprobeerd op een iPhone 6 met iOS 10.1.1. Ik kan vragen aan Siri 'Wie ben ik'. Hierdoor krijg ik mijn eigen naam + profielfoto te zien. Verder kan ik er niks mee, er staan wat icoontjes (die zijn grijs). Ik kan hieruit dus niet mijn 06 of iCloud ID halen. Kan mezelf vanaf een ander toestel dus ook niet zomaar facetimen.
Zou het ook werken als je wacht tot er een smsje binnen komt? Deze kan je tenslotte ook beantwoorden (kan je uitzetten) of een wappje waarbij je antwoorden niet uit kan schakelen
Als ik hier aan Siri vraag wie ik ben dan krijg wel mijn naam te zien maar contactgegevens ontbreken en ik kan ook niet mijzelf bellen of een bericht sturen zonder een unlock te doen met code of vingerafdruk. Waarschijnlijk heeft T.net getest door de home knop lang ingedrukt te houden met een vinger die ook tevens voor een unlock zorgt.

Oftewel: zonder telefoonnummer kan je weinig en daar achter komen kan niet zo makkelijk met een locked telefoon.
Hoe heb jij noodgevallen in de gezondheidsapp ijgesteld? En bij siri mijn info welke gegevens staan daar?
Gezondheid is ingesteld maar geeft alleen maar een telefoonnummer van anderen. Mijn Siri staat goed ingesteld met het juiste contact. Als de telefoon geunlocked is komen er wel meer gegevens naar voren. Wellicht dat Apple al het een en ander heeft aangepast?
Kan ik bevestigen (zojuist getest): in de contacten/foto's kom je niet als hij locked is. Alleen de naam van de eigenaar is op te roepen (altijd handig als de telefoon gevonden wordt en de eigenaar opgespoord moet worden "who owns this <idevice>") maar als ik dan vervolgens op de foto of de contactinfo druk, verschijnt alsnog het toetsenblok tbv. ontgrendeling.

Heel dapper (dus) dat dit op 10.0.1 getest is maar we zijn onderhand 4 updates verder. Ik denk dat wat dat betreft het probleem niet zozeer bij Apple ligt. ;)
De zoveelste ja, zoals al genoemd in het bericht. Via twitter zijn er ook een hoop lockscreen bypasses mogelijk. Ik dacht dat siri daar ook bij gebruikt wordt, misschien moeten ze haar maar even inperken qua functionaliteiten als de telefoon locked is. Sowieso vind ik het bij iOS bizar wat je allemaal kunt zonder je telefoon te unlocken. Alsof iemand zijn telefoon locked gebruikt.

Vrij kwalijk, maar gelukkig heeft apple een prima reputatie qua updates. Zal binnen een maandje wel opgelost zijn.
Ik heb dit even geprobeerd op mijn iPhone 6 (Software 10.1.1). Wanneer ik vraag 'Wie ben ik?'. Dan laat Siri mij zien 'Jij bent <naam>. Dat heb je mij in ieder geval verteld.. Verder staat mijn profielfoto er en vier icoontjes (bericht, bel, video en e-mail). Deze werken alle vier niet (worden grijs weergeven) dus ka hier niks mee. Hoe moet een onbekende mij op dit moment kunnen facetimen dan? Aangezien er geen gegevens op het scherm staan (iCloud ID of 06) waarmee hij mij kan bereiken op facetime?
Wel interessant: op mijn werk (redelijk streng beveiligd) hebben ze maar 1 mdm eis en dat is dat Siri op het lockscreen is uitgeschakeld.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True