蘋果發佈會前,「浴霸燈」是大家吐槽的焦點;發佈會後,不少「專家」爭相細數iPhone11的「N宗罪」;而最恐怖的是,今年還出了款祖母綠~
於是,不少人立誓不購入新機。。。。。。
9月16日,宅宅被朋友圈piapia地打臉聲吵醒,一則新聞被刷屏了:
Emm~身為真香群眾一員,苦命的宅宅並無賣腎買新機的覺悟,而是本着換新機一時爽,更系統一直爽的心態升級了iOS13,原想能獲得1/2的新機體驗。誰曾想,卻為黑客開了後門。。。。。。
沒錯,iOS13有漏洞!!!
這是個密碼旁路漏洞,簡單來說,就是黑客能不用解鎖直接訪問你的iPhone通訊錄信息。
按理來說,手機在鎖定狀態下不應該被允許查看設備存儲的信息,如聯繫人、圖片、消息等,但近日安全研究員何塞·羅德里格茲(Jose Rodriguez)公開披露了這一漏洞,它可以讓黑客利用手機的「信息回復」及「Voice-over」功能跳過鎖屏保護的安全機制。
Rodriguez在網上上傳了使用該漏洞進行攻擊的詳細操作過程(點擊查看視頻),其攻擊的方式可以分成以下步驟:
1、使用自定義消息回復來電。
2、啟用VoiceOver功能。
3、禁用VoiceOver功能
4、將新聯繫人添加到自定義消息
5、單擊聯繫人圖像以打開選項菜單,然後選擇「添加到現有聯繫人」。
6、當顯示聯繫人列表時,點擊其他聯繫人以查看其信息。
期間,攻擊者需要使用到Siri執行語音操控來開關「VoiceOver」輔助功能,在功能開啟的狀態下切回到信息回復界面,然後再關閉「VoiceOver」輔助功能。
至此,攻擊者已經完成前置階段,接下來只需要根據頁面提示點按「+」即可隨意查看通訊錄信息。
可被泄露的通訊錄中,包含了電話號碼、郵箱、姓名、住址等信息,甚至還可以進行新增聯繫人操作。
在雷鋒網看來,要完成上述操作攻擊者首先要拿到目標手機,然後往目標手機撥打電話或者FaceTime再進行操作。
So,如果你的iPhone11已到貨,千萬提防主動要求「觀摩」一番的身邊人吧。
Rodriguez解釋說,他在2019年7月17日便就此漏洞聯繫了蘋果公司,而當時iOS13仍處於測試階段。截至9月11日,當該漏洞被公開披露時,蘋果依然沒有修復漏洞。
蘋果宣布,iOS13將於當地時間9月19日星期四正式發佈(北京時間9月20日推出)。在這之前,蘋果或將發佈補丁修復上述漏洞,以保證所有升級iOS13系統的蘋果設備的安全。
不過,iPhone用戶可以從Face ID與密碼設置中關閉「以信息回復」的功能,以此杜絕上述風險。
該漏洞並非首次發現,研究人員曾發現密碼旁路攻擊可以繞過iOS操作系統12.0.1和12.1中的版本。(雷鋒網)
