運行最新版 iOS 操作系統的 iPhone 6s 和 6s Plus 機型存在漏洞,攻擊者可繞過鎖屏界面訪問照片及聯系人。
德國安全研究機構 Vulnerability Lab 在3月中旬向蘋果上報了這一問題,但蘋果在上周發布的 iOS 9.3.1 版本中并未發布修復措施,因此公司決定對這一漏洞發布公告。
安全專家發現,本地攻擊者可以在鎖定的 iPhone 6s 上使用Siri,通過推特等應用線上搜索電子郵件地址。之后,攻擊者可以點擊搜索結果中顯示的電子郵件地址,調出上下文菜單。該菜單擁有添加或更新聯系人功能,同時也給出了手機上存儲的聯系人列表。如果攻擊者訪問列表中的聯系人,可以為其添加照片,因而能夠進一步訪問用戶的照片應用。Vulnerability Lab 提示稱,如果黑客搜索手機聯系人列表中已經存在的電子郵件地址,也可以看到發送短信或電子郵件的選項。
值得注意的是,這一鎖屏界面漏洞僅對 iPhone 6s 和 iPhone 6s Plus 機型適用,因為它們是目前支持 3D Touch 功能的唯一兩款設備。 3D Touch 功能讓用戶可以基于點擊屏幕的力度實現不同的操作。
在蘋果發布修復之前,用戶可以徹底禁用 Siri ,或者限制其訪問用戶數據的能力,保護自己的手機。
iOS 9 系統還存在其它可以繞過鎖屏的漏洞。上個月, Vulnerability Lab 發布的一段視頻顯示,可以通過多種方式“玩弄” Siri ,獲取鎖屏 iPhone 上的數據。 Vulnerability Lab 公司對媒體表示,蘋果官方已經通過服務器端的修正解決了這些問題,但沒有發布 iOS 更新。
京公網安備 11010502049343號