据外媒报道,一名安全研究人员在iOS中发现了一个严重的安全漏洞,任何人都可以借助它来绕过Passcode的保护来查看iPhone上的照片或阅读已有的消息。更糟糕的是,即使你已经配置了Touch ID,该方法同样适用。EverythingApplePro和iDeviceHelps发现,该漏洞会利用Siri来攻破设备,且只需简单的几个步骤,其影响从iOS 8到***的iOS 10.2 beta 3版本的系统。
要重现这个bug,你得先获知机主的手机号码(向Siri问一句“我是谁?”就露馅了),接着呼叫(通过上一步骤获取的)受害者号码、甚至可以用FaceTime。
点击消息,自定义(弹出‘新消息’屏幕),并开始输入回复。用Home键激活Siri,说出“启用VoiceOver”的语音命令,然后返回消息屏幕。
接下来这一步可能无法一次成功(但在多次尝试之后还是有可能得逞):在输入号码栏上双击并按住,然后立即点击键盘。
多次重复此操作,直至键盘上方出现slide-in的效果,然后向Siri表示“停用VoiceOVer”。
接下来的一切就很简单了:在顶栏上输入联系人的首字母,点击名字上圆形的“i”图标。然后新建一个联系人,点击添加照片、选择照片。
即使在iPhone未解锁的情况下,任何人仍然能够通过这一方法“正常浏览”到用户的相册。此外,只需选择任意联系人,也可以看到相关的短信内容。
作为一项最简单的预防措施,在苹果发布修复之前,你***到禁止在锁屏下使用Siri。方法是在设置中找到“Siri->锁屏访问”,然后将它关掉。
相信苹果已经知道了这个bug的存在,并在未来版本的iOS中及时修复(在iOS 10.2正式版本中打上补丁的可能性***)。
