Уязвимость в сервисе Facetime позволяет получить удаленный контроль над микрофоном и камерой смартфонов от Apple.
Эта уязвимость позволяет тайно подслушивать и подглядывать за пользователями. Связана она с недоработкой нового механизма группового звонка Facetime, добавленного в iOS 12.1.
Эксплуатация уязвимости довольно легко воспроизводится:
- совершаем Facetime вызов любому контакту.
- пока идет вызов, свайпаем вверх, выбираем «Добавить участника».
- вводим свой собственный номер телефона и начинаем групповой вызов FaceTime.
- у нашего контакта включится микрофон и можно слушать аудио, даже если звонок остался без ответа (жертва при этом ничего не заметит).
- если во время звонка наша жертва нажмет на кнопку Power, нам будет доступно еще и видео с фронтальной камеры.
Демонстрация эксплуатации уязвимости представлена на видео:
Apple обещает оперативный выпуск патча, а пока в качестве защитной меры можете отключить Facetime на вашем устройстве.