iOS13で連絡先の情報を不正入手できてしまうバグが発見される

 
スペシャルイベントを開催した9月10日（現地時間）、AppleはiOS13のゴールデンマスター（GM）をリリースしました。GMは開発者向けですが、9月19日に一般公開となる正式版と内容はほぼ同一です。ところが、そのiOS13 GMで不正に連絡先へアクセスが可能なバグが早くも発見されました。

VoiceOver機能がiOSに干渉？

ホセ・ロドリゲス氏がYouTubeで公開した動画では、iPhone画面の読み上げ機能「VoiceOver（設定＞一般＞アクセシビリティ）」とSiriを使い、Face IDやTouch ID、パスコード入力といった認証を迂回して、iOS13で連絡先にアクセスする方法が紹介されています。
 

 
ターゲットとなるiPhoneに電話をかけます。着信を確認したら、電話をとらずに「メッセージを送信」をタップし、選択肢から「カスタム」を選びます。するとメッセージ入力画面が表示されますが、この時点では宛先を変更したり追加したりすることはできません。
 
しかし、Siri経由でVoiceOverのトグルをオンにして宛先をタップした後、再びVoiceOverをオフにすると、なぜかメッセージの宛先を追加できるようになっています。任意の文字をキーボードで入力すると、連絡先に登録してある中から宛先となる候補が表示され詳細も確認できてしまいます。
 
ニュースサイトAppleInsiderが検証を行った結果、VoiceOverのオン/オフを切り替えるタイミングが重要で簡単に成功はしなかったものの、実際に再現できたそうです。
 
なおロドリゲス氏は、iOS12でもVoiceOverとSiriを組み合わせて写真を不正に閲覧する方法を明らかにしています。いずれのバグもロック中のSiriへのアクセスをオフにする（設定＞Face ID/Touch IDとパスコード＞Siri）ことで対策が可能です。
 
 
Source:AppleInsider
(kihachi)