Исследователь кибербезопасности Мелих Севим (Melih Sevim) смог обнаружить баг в iCloud, который позволяет получить доступ к приватным данным других пользователей iPhone.
Как оказалось, Apple привязала номер телефона к платежным ведомостям Apple ID и учетной записи iCloud. Чтобы получить доступ к личным данным постороннего человека, Севим ввел его контактный номер в свой личный аккаунт.
Выдав себя за владельца смартфона, он получил доступ к некоторым файлам, в том числе к заметкам. По заверению взломщика, доступ к приватной информации, включая банковские счета и пароли пользователей хранящиеся в iCloud, можно получить используя случайные личные данные.
Как утверждает Мелих Севим, он сообщил Apple о своей находке в октябре 2018. В Купертино хакеру сообщили, что проблема была решена гораздо ранее его обращения. Однако специалист заметил, что на самом деле уязвимость была доступна ещё в течение некоторого времени.
В комментариях журналистам ресурса The Hacker News, Apple подтвердила, что баг оставался в iCloud до ноября 2018 года. Как долго уязвимость была доступной для злоумышленников – производитель не уточнил.