最新のiOS12.0.1でVoiceOver機能を利用してパスコード入力をバイパスして写真データにアクセスできるバグ

iOS 12にはパスコードを入力せずに端末内にアクセスできる脆弱性が発見されていましたが、最新のiOS 12.0.1でもなお「VoiceOver」機能を使って、パスコードロックをバイパスし、端末内の写真にアクセスするバグが発見され、YouTubeムービーで公開されました。

Passcode Bypass iOS 12 - 12.0.1 - YouTube


上記ムービーの操作を参考に、最新版のiOS 12.0.1にアップデートしたiPhone XSを使って、VoiceOver機能を利用してパスコードロックをバイパスし、端末内の写真を表示してみました。なお、バグ自体はiOS 12.0.1のものなので、iPhone XSに限らず悪用される可能性があります。

iOS12.0.1のiPhone XSでVoiceOver機能を利用してパスコードロックをバイパスし写真を表示してみた - YouTube


まず、パスコードロックがかかったiPhoneに対して電話をかけます。次に、着信に出ることなく、「メッセージを送信」をタップ。

「カスタム…」をタップ。

新規iMessage画面が起動するので、ボタン操作によってSiriを起動させます。

Siriに話しかけて、VoiceOver機能をオンにしたら、ホームボタン(iPhone Xシリーズではサイドボタン)を押して再びiMessage画面に戻ります。

ここで、「カメラ」アイコンをタップして選択した状態で、「Siriを起動させると同時に画面をダブルタップ」すると、バグモードに入ります。

ダブルタップのタイミングはシビアですが、成功すると画面を左右にスワイプして、バックグラウンドで起動する画面を操作可能です。目的の写真にたどり着いたら画面をタップすれば表示可能。画像を送信することもできます。

記事作成時点で最新のiOS 12.0.1で存在するVoiceOver機能を使ってパスコード入力なしで端末内のデータにアクセスできるバグを防ぐにはSiriの機能をオフにするしか対策はなさそうです。この脆弱性を防ぐべくAppleによる速やかなiOSアップデートが待たれます。