安全動(dòng)態(tài)

iPhone曝漏洞,繞過(guò)密碼查看照片,所有機(jī)型受影響

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2018-10-08    瀏覽次數(shù):
 

信息來(lái)源:51cto


一種新的繞過(guò) iPhone 密碼的技術(shù)浮出水面,可以無(wú)限制地訪(fǎng)問(wèn)用戶(hù)的聯(lián)系人和照片。這一漏洞最早是由 iPhone 發(fā)燒友 Jose Rodriguez 發(fā)現(xiàn)的。他在自己的 YouTube 頻道 Videosdebarraquito 上發(fā)布了一段西班牙語(yǔ)視頻,詳細(xì)介紹了這個(gè)方法。

另一個(gè) YouTube 頻道 EverythingApplePro 也在 Jose Rodriguez 之后不久發(fā)布的一段英語(yǔ)視頻中展示了這一漏洞。

值得注意的是,這個(gè)漏洞似乎影響了所有的 iPhone 機(jī)型,包括最新的 iPhone XS 和 iPhone XS Max——它們都能運(yùn)行最新的軟件,其中包括 iOS 12 和 iOS 12.1 的最新測(cè)試版。

需要明確的是,這個(gè)可以繞過(guò) iPhone 密碼的漏洞并不容易被利用。它需要通過(guò)復(fù)雜的 37 步過(guò)程,并且利用了 Siri 和 VoiceOver 輔助功能。當(dāng)然,它還需要對(duì)設(shè)備進(jìn)行物理訪(fǎng)問(wèn),而且鎖定屏幕上的 Siri 是啟用的。

有趣的是,F(xiàn)ace ID 需要被禁用,或者 TrueDepth 相機(jī)需要被物理覆蓋以保證可以繞過(guò) iPhone 密碼。一旦使用了這個(gè)漏洞,攻擊者就可以獲得對(duì)用戶(hù)聯(lián)系人列表的完全未經(jīng)身份驗(yàn)證的訪(fǎng)問(wèn),該列表包括電話(huà)號(hào)碼、電子郵件地址和聯(lián)系人的其他數(shù)據(jù)。

除了不用身份驗(yàn)證就訪(fǎng)問(wèn) iPhone 的聯(lián)系人之外,攻擊者還可以進(jìn)一步訪(fǎng)問(wèn) iPhone 的相冊(cè)。雖然這有點(diǎn)復(fù)雜,但是攻擊者完全有可能有足夠的時(shí)間和精力訪(fǎng)問(wèn)用戶(hù)的隱私照片。

如果你擔(dān)心攻擊者會(huì)訪(fǎng)問(wèn)你的聯(lián)系人或照片,在蘋(píng)果解決這個(gè)問(wèn)題之前,你可以做幾件事來(lái)保護(hù)自己。首先,打開(kāi) Face ID 功能,不要讓你的手機(jī)離開(kāi)你的視線(xiàn)太久。不過(guò),要想完全降低這個(gè)漏洞的風(fēng)險(xiǎn),最好的辦法是禁用 Siri 在鎖定屏幕上的訪(fǎng)問(wèn)權(quán)限,但是這會(huì)阻礙你充分享受 iOS 12 的 Siri 功能。


 
 

上一篇:2018年09月30日 聚銘安全速遞

下一篇:法律禁止默認(rèn)密碼“admin",“無(wú)意入侵”沒(méi)那么容易了