iOS 惊现大漏洞:无需密码即可访问你的 iPhone 照片或消息
11月16日,外媒 softpedia 上爆出一个惊人的大消息:iOS 中有一个严重的安全漏洞,任何人都可以借助它来绕过 Passcode 的保护来查看 iPhone 上的照片或阅读已有的消息,更可怕的是,即使你已经配置了 Touch ID,该方法同样适用。
意思就是:
男朋友和女朋友在吵架。
女朋友说:“不要以为我不知道,你最近在和一个小妖精勾搭!”
男朋友装无辜:“亲爱的你不要胡思乱想,天地良心,我对你是忠贞不二的。”
看了这篇报道的女朋友想起了 iOS 这个漏洞,男朋友内心还在庆幸:还好你不知道我的密码,也没加你的指纹解锁。
结果女朋友一股脑调出了男朋友少儿不宜的照片和暧昧短信。
那么,到底是如何绕过密码直接高能查看 iPhone 上的照片或消息的呢?
一、实操教程
这个漏洞由 EverythingApplePro 和 iDeviceHelps 发现,这场“惨案”是从 Siri 开始的:
1.获知机主的手机号码。
如何获得?只要向 Siri 问一句“我是谁?”你的信息很可能就被和盘托出——这里指的是你的手机号码。雷锋网(公众号:雷锋网)编辑亲测了一下,第一次是失败的:
但是,如果你已经按照这个设置,弹出来的就是这个界面( Siri 就这么出卖了我……的手机号):
2.呼叫第一个步骤获取的受害者号码,甚至可以用 FaceTime 来打电话。
3.点击消息,自定义(弹出“新消息”屏幕),输入回复。用 Home 键激活 Siri,说出“启用VoiceOver”的语音命令,然后返回消息屏幕。
接下来这一步可能无法一次成功,但在多次尝试之后还是有可能成功。在输入号码栏上双击并按住,然后立即点击键盘。多次重复此操作,直至键盘上方出现 slide-in 的效果,然后向 Siri 表示“停用 Voice OVer”。
4.在顶栏上输入联系人的首字母,点击名字上圆形的“i”图标。新建一个联系人,点击添加照片、选择照片。
即使 iPhone 没有解锁,仍然能够通过这一方法正常浏览该手机用户的相册。同时,只需选择任意联系人,也可以看到相关短信内容。
以下是详细操作视频:
二、如何“防御”这个BUG
尽管苹果似乎知道了这个 bug ,但是该 bug 尚未被修复,为了保证安全,不让大家看到自己手机里的小秘密,建议进行下面的操作:禁止在锁屏下使用Siri,在设置中找到“ Siri -> 锁屏访问 ”,关掉。
softpedia 预估,在 iOS 10.2 正式版本中,这个问题可能得到修复,目前,iOS 8到最新的iOS 10.2 beta 3版本的系统都受到这一漏洞的影响。
本文转自d1net(转载)
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
苹果用户每天解锁iPhone手机80次
据外媒报道,苹果在上周五的电话会议上同记者谈论了iOS设备的安全问题,期间,它还分享了一些非常有趣的数据,比如用户的设备日平均解锁次数。据苹果披露,iPhone用户平均每天解锁设备80次,其中有89%用的都是Touch ID。按照一天12个活动小时计算的话,用户每个小时需要检查iPhone手机6到7次或是每隔10分钟检查1次。 如果用户选择的是Touch ID,那么每天可省下好几分钟的解锁时间,并且由于它不会扰乱用户的登录体验,所以这绝对是他们会毫不犹豫就会使用的功能。 Bajarin指出,让设备每天解锁的次数达到百次已经算得上是一个不小的成就了,Touch ID为用户带来的不仅仅是安全,同时还有优秀的使用体验。 Touch ID是苹果在2013年为iOS设备推出的一项新解锁功能。除了取代数字密码访问设备之外,它还能充当第三方软件的密码。 本文转自d1net(转载)
- 下一篇
“SandJacking”攻击:在未越狱的 iOS 设备上安装恶意应用
在HITB 2016 会议中,Mi3 Security公司的安全研究员Chilik Tamir发表了一个关于“SandJacking”攻击的演讲,利用一个未打补丁的iOS漏洞在未越狱的iOS设备上使用恶意版本替换合法的应用程序,获取设备的敏感信息。 开发一个以Apple iOS系统为目标的恶意软件并不简单,首先,iOS中的应用程序都运行在沙箱中以防止其他进程访问。沙箱中包含文档、数据库、cookies……其中的任何一项都会导致严重的信息泄露,因此保护沙箱十分重要。 苹果也尝试要求所有通过官网应用商店发布的应用程序使用证书签名,而该证书则需要根据严格的识别程序获取。另外,苹果公司会对应用程序进行严格的审查,其安装过程也会经过全面的验证。 尽管如此,还是有一些攻击者可以利用设计缺陷和漏洞使用恶意软件感染设备。例如WireLurker,YiSpecter,XCodeGhost,ZergHelper,AceDeceiver。 滥用苹果证书安装恶意软件 Chilik Tamir在会上演示了攻击者如何利用苹果最新推出的开发功能安装恶意软件。 在Xcode 7的介绍中,独立开发者只需要提供Apple...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8编译安装MySQL8.0.19
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2全家桶,快速入门学习开发网站教程