上个月有位真果粉,来自西班牙的业余安全人员Jose Rodriguez,曝出了iOS 12系统中存在锁屏漏洞,然而令人失望的是在更新后的iOS 12.0.1系统中该漏洞还是存在。它可以让黑客在锁屏情况下访问手机内的照片。
虽然之前的漏洞已经在本次的iOS 12.0.1系统中被修复,但是又被曝出类似的漏洞。任何人都可以在锁屏情况下访问手机内的照片,并能使用苹果的iMessage发送给其他人。而且新曝出的漏洞比起旧漏洞操作更简单,这给iPhone的使用者敲响警钟,需要特别留意别有用心的同事、伙伴、朋友或室友接触到手机。新漏洞还是利用了Siri和VoiceOver读屏功能来突破手机的锁屏界面。
从流程上看需要以下10步操作:
1、向目标iPhone打电话。即使不知道电话号码,也可以询问Siri“who I am”或让它通过语音拨打自己的电话获取号码。
2、电话打进后不要点击接听,而是点击“消息”进入短信编辑界面。
3、在输入框中随便输入字母。
4、告诉Siri启用 VoiceOver读屏功能,该功能是为了方便视障人士使用手机。
5、点击“相机”图标。
6、使用“Home”唤醒Siri同时双击屏幕,如不成功多尝试几次。
7、当屏幕黑屏后,手指划向屏幕左上方,这时VoiceOver功能开始读取所选择的内容,直到听到“照片库”。
8、听到后,双击屏幕选择照片库,这时会返回短信界面,在屏幕键盘位置会看到空白,这其实就是照片库。
9、手指滑动到VoiceOver,使用读屏读取每张照片。
10、双击选中的照片后会将照片添加到短信编辑框并显示照片内容,接着就可以发送给其他人了。
该漏洞在所有苹果设备上都存在,包括最新的iOS 12和iOS12.0.1系统版本。在苹果官方发布修复补丁前,用户可以手动关闭“锁屏下使用Siri”功能,操作如下:
设置—Face ID &密码—禁用Siri(锁屏下允许)
虽然禁用后使用上会略有不便,但对于安全来说还是需要放在首位考虑。