蘋果有“洞”:iPhone 6S鎖屏時 被曝可獲取通訊錄
- 發佈時間:2016-04-06 14:59:15 來源:新華網 責任編輯:羅伯特
頻因漏洞上頭條的蘋果産品,再次被曝光出新問題。
英國《衛報》今晨報道稱,一位用戶就發現了蘋果iPhone 6S和iPhone 6S Plus新漏洞:在鎖屏的情況下,可以直接獲取手機中的通訊錄和照片等資訊。
報道指出,此前蘋果意外推送了iOS9.3.1正式版,主要是為了修復iOS9.3正式版內置的Safari瀏覽器、資訊和郵件等程式內的連結點擊沒有反應的問題。然而就在新版本推出後不久,再次出現這一安全問題。
安全漏洞 利用3D Touch功能 可獲取通訊錄資訊
《衛報》指出,此次發現這一系統漏洞的是何塞·羅德里格斯,該用戶在去年的時候還發現了相似的安全漏洞。
在示範案例中,攻擊者可以通過長按Home鍵或者語音指令啟動Siri,然後要求虛擬助手進行推特搜索。如果搜索結果包含可執行的聯繫人數據,比如電子郵箱地址,攻擊者就可以利用3D Touch手勢呼出相關功能表,繼而發送電子郵件、添加或修改聯繫人資訊。在3D Touch的“快速操作”功能表中,點擊“添加到現有聯繫人”就可以打開iPhone的聯繫人清單。
報道指出,這使得惡意攻擊者能夠完全獲得手機用戶的所有聯繫方式。在適當配置下,攻擊者還可以進一步訪問手機的照片庫。
此外,羅德里格斯稱,攻擊者還可以利用這個漏洞通過Siri的搜索結果來訪問WhatsApp的好友資訊。需要特別指出的是,上述操作均有可能在手機未被解鎖的情況下,攻擊者就可以獲得上述手機用戶的個人資訊。
從發佈的視頻來看,該用戶通過Siri和3D Touch訪問通訊錄和照片的過程並不複雜,很容易被其他用戶學會。
許可權要求 授權Siri訪問存風險 iPhone 6S受影響
報道稱,需要指出的是,這一安全漏洞必須在特定情況下才能奏效。手機用戶必須授權Siri訪問他們的賬戶、推特照片庫或相關應用以及手動設置服務許可權才行。報道指出,當用戶第一次要求Siri進行推特搜索時,Siri會要求訪問許可權。為了驗證所有權,Siri會要求推特賬戶所有人通過密碼或Touch ID進行確認。
如果用戶擔心自己的設備被非法入侵了,可以通過設置功能表關閉Siri來禁用Siri與推特整合的功能。只要在隱私設置功能表中關閉Siri整合功能,就可以切斷Siri與照片庫之間的聯繫。用戶們還可以通過徹底禁用Siri來達到相同的目的。
報道稱,這一安全缺陷僅影響有3D Touch螢幕的設備,也就是iPhone 6S和6S Plus 。目前蘋果方面尚未對該安全缺陷進行回應。
專家提醒
蘋果手機用戶
別急著更新系統
據國內最大的網際網路安全公司360公司IOS安全研究團隊負責人高雪峰介紹,蘋果公司一旦有新的系統發佈,會立即通知用戶更新,蘋果這樣做主要是為了修復以往的舊版本漏洞,同時防止用戶越獄。但是新系統又往往會帶來功能和安全的新漏洞。
現在根據最新的通報情況來看,漏洞主要會造成駭客在手機鎖屏的情況下,通訊錄和照片等個人資訊泄漏,應該屬於中高危漏洞,所有漏洞都需要滿足一定的條件才能完成,目前來看,只要手機沒有被盜,還在機主手中,手機內個人資訊還是安全的。
高雪峰提醒,用戶在蘋果發佈新的系統以後,最好不要立即更新,最好等待15天——30天時間,等待蘋果公司發佈更加穩定版本以後再更新,避免自己資訊泄漏。
另據路透社報道,美國FBI近日表示,不再請求法庭下達命令,迫使蘋果破解聖貝納迪諾槍擊案兇手使用的一部iPhone。FBI稱,不知名第三方提供的一種方法,可以避開已死亡兇手生前為其iPhone設置的密碼。不過,這一做法引發不少擔憂。
在有關FBI找到方法破解iPhone後,iPhone用戶擔心若他們的設備丟失,將容易被駭客破解。很多iPhone用戶覺得,原來自己為手機設定的密碼並不可靠,一旦這種破解iPhone密碼的方法被傳播開,手機上的密碼保護將形同虛設。(記者 黎史翔)