频因漏洞上头条的苹果产品,再次被曝光出新问题。
英国《卫报》今晨报道称,一位用户就发现了苹果iPhone 6S和iPhone 6S Plus新漏洞:在锁屏的情况下,可以直接获取手机中的通讯录和照片等信息。
报道指出,此前苹果意外推送了iOS9.3.1正式版,主要是为了修复iOS9.3正式版内置的Safari浏览器、信息和邮件等程序内的链接点击没有反应的问题。然而就在新版本推出后不久,再次出现这一安全问题。
安全漏洞 利用3D Touch功能 可获取通讯录信息
《卫报》指出,此次发现这一系统漏洞的是何塞·罗德里格斯,该用户在去年的时候还发现了相似的安全漏洞。
在示范案例中,攻击者可以通过长按Home键或者语音指令启动Siri,然后要求虚拟助手进行推特搜索。如果搜索结果包含可执行的联系人数据,比如电子邮箱地址,攻击者就可以利用3D Touch手势呼出相关菜单,继而发送电子邮件、添加或修改联系人信息。在3D Touch的“快速操作”菜单中,点击“添加到现有联系人”就可以打开iPhone的联系人清单。
报道指出,这使得恶意攻击者能够完全获得手机用户的所有联系方式。在适当配置下,攻击者还可以进一步访问手机的照片库。
此外,罗德里格斯称,攻击者还可以利用这个漏洞通过Siri的搜索结果来访问WhatsApp的好友信息。需要特别指出的是,上述操作均有可能在手机未被解锁的情况下,攻击者就可以获得上述手机用户的个人信息。
从发布的视频来看,该用户通过Siri和3D Touch访问通讯录和照片的过程并不复杂,很容易被其他用户学会。
权限要求 授权Siri访问存风险 iPhone 6S受影响
报道称,需要指出的是,这一安全漏洞必须在特定情况下才能奏效。手机用户必须授权Siri访问他们的账户、推特照片库或相关应用以及手动设置服务权限才行。报道指出,当用户第一次要求Siri进行推特搜索时,Siri会要求访问权限。为了验证所有权,Siri会要求推特账户所有人通过密码或Touch ID进行确认。
如果用户担心自己的设备被非法入侵了,可以通过设置菜单关闭Siri来禁用Siri与推特整合的功能。只要在隐私设置菜单中关闭Siri整合功能,就可以切断Siri与照片库之间的联系。用户们还可以通过彻底禁用Siri来达到相同的目的。
报道称,这一安全缺陷仅影响有3D Touch屏幕的设备,也就是iPhone 6S和6S Plus 。目前苹果方面尚未对该安全缺陷进行回应。
