lollipops2016-04-06 17:59人评论0人阅读3795
Apple又再次给了用户们关闭Siri的理由。
据外媒报道,近日黑客又发现了Apple运行了最新版本iOS操作系统的iPhone6s手机上存在一致命漏洞,允许任何人绕过手机的锁屏密码访问用户个人信息。
Vulnerability Lab 安全公司在3月中旬时发现了该漏洞并将其上报给了Apple,但是在上周发布的iOS9.3.1中并没有得到修复,所以他们决定公布该漏洞。
我们之前可能也了解过类似的漏洞,但在这个例子中,攻击者通过Siri可以访问存储有密码保护的 iPhone 6s。
“我们发现 Apple运行着 iOS v9.3.1 的iPhone 6S 与 iPhone Plus 模型中存在密码绕过漏洞。该漏洞允许本地攻击者绕过iPhone 6S及6SP中的物理设备保护机制。”,“该密码绕过漏洞的安全风险被估计为很高,并且在CVSS(通用漏洞评分系统)中为6.1分”。
iPhone绕过锁屏密码漏洞仅可以在iPhone 6S与iPhone 6S Plus上成功实现,因为该型号使用了3D Touch触摸技术,该技术可被利用绕过锁屏密码,并访问用户个人照片与联系人。该漏洞存在于iOS9.2及后续版本,当然也包括上周发布的最新版本iOS9.3.1。
任何可以实际接触到受影响iPhone的人都可以访问受害者照片、电子邮件,短信与图片信息、联系人与照片设置、以及受害人完整的邮件列表。
好了,说了这么多,这里是如何绕过iPhone锁屏密码:
步骤1. 如果你的手机是iPhone 6S 或iPhone 6S Plus,首先锁住设备的屏幕;步骤2. 唤醒Siri并说‘Search Twitter’;步骤3. 当Siri询问你想要搜索什么的时候,回复她:‘@gmail.com’或其他流行的电子邮件域名,目的是找到一条包含有效email地址的tweet消息;步骤4. 当你获取到搜索结果,点击该tweet消息中的email地址;步骤5. 通过3D Touch点击该邮件地址并获取相关菜单;步骤6. 点击‘创建联系人’;步骤7. 添加图片——这样你就可以访问设备中的所有照片了。
你可以通过Siri访问图片库。你也可以通过’添加到现有联系人’获取iPhone手机上的联系人信息。
视频演示:
通过观看视频演示你也能够了解这个安全问题。
然而,想要访问受密码保护的iPhone中用户的个人数据是非常简单的,在Apple修复该漏洞前,用户可以自己进行简单修复。
解决方案:
1. 该漏洞可以通过在锁屏时禁用Siri来进行短时的修复,虽然该方法可能会削弱用户的iOS 9.3 或iOS 9.3.1 体验(当然,安全性更重要~对不~)。
2. 或者,你可以限制Siri对照片的访问,这样的话任何利用该漏洞的人都无法访问你的私人照片。
设置——隐私——照片,然后选不允许Siri访问图片。
当然,在有人试图利用该安全问题访问你照片时,Siri仍会要求权限来浏览照片。
最新消息:Apple于今日已经修复了该漏洞,本次修复无需用户主动更新。
苹果对Siri进行了云端设置。此前,当你对Siri说“搜索推特”时,Siri会回复“您想要搜索什么内容”。现在,当手机处于锁屏状态时,用户不能用Siri直接访问推特账号等个人资料,Siri会要求用户先输入锁屏密码,这就防止了敏感照片和联系人等信息泄露。
同时,苹果还修复了另一个bug,该bug会导致用户可以在开启低功耗模式的同时打开夜间模式,这一bug也是通过命令Siri触发。现在,当手机处于低功耗模式时,用户对Siri说“打开夜间模式”,Siri会回复“打开夜间模式将关闭低功耗模式,是否继续?”
本文标签:安全资讯网络安全
本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:dandanxi6@qq.com