De fout kwam aan het licht door een beveiligingsonderzoeker, Jose Rodriguez, die een filmpje op YouTube plaatste waarin hij de bug laat zien. We hebben het hier op de PCM-redactie kunnen nadoen met een iPad Air 2 met iOS 9.0.1.

Lastig uit te buiten

Het is niet makkelijk de bug uit te buiten. De aanvaller moet daarvoor eerste 4 keer een verkeerde pincode invoeren. Daarna is het mogelijk Siri op te roepen en vanuit de slimme assistent de Klok-applicatie te openen. Dat kan altijd, ook wanneer er al een wachtwoord op het toestel zit.

iMessage

Als je de klok-applicatie echter opent na eerst 4 keer een verkeerd wachtwoord te hebben gebruikt, is het mogelijk een stuk tekst te typen en dat te delen via iMessage. Daar hoort in normale gevallen de beveiliging te zitten waar je een pin-code voor nodig hebt, maar dat gebeurt in dat geval niet. Je kunt daardoor allerlei acties in iMessage uitvoeren zonder de pincode te hoeven invoeren.

Foto's en contacten

Vanuit iMessage is het mogelijk berichten te sturen naar andere gebruikers, maar ook om alle contacten te bekijken. Het is bovendien mogelijk een nieuw contact aan te maken en daar een foto aan te hangen - waardoor een inbreker ook toegang heeft tot je Filmrol.

Nieuwe iOS

Opvallend is dat het probleem al een paar dagen geleden aan het licht kwam, maar dat het ook in de nieuwste versie van iOS niet gerepareerd is. iOS 9.0.1 kwam deze ochtend uit.

Het probleem is overigens makkelijk op te lossen voor iPhone- en iPad-gebruikers: Je moet daarvoor in de instellingen uitschakelen dat je Siri vanuit je vergrendelscherm kunt gebruiken. Daardoor is het niet mogelijk de assistent op te roepen en in de klok-app te komen.