骑猪兜风

Siri新漏洞:不需要密码通讯录和照片就被看光了

骑猪兜风 2016-04-05 15:52:39    200834 次浏览

  [摘要]不法用户无需密码就能访问联系人和照片,仅部分iPhone 6s和6s Plus受到了该漏洞影响。

Siri新漏洞:不需要密码通讯录和照片就被看光了

  据国外媒体报道,苹果数字助手Siri被发现存在一个新漏洞,该漏洞会导致不法用户绕过密码保护的锁屏界面而获得用户的联系人和照片等数据。从目前的情况来看,只有部分iPhone 6s和iPhone 6s Plus受到了该漏洞的影响。

  这个新漏洞是由何塞·罗德里格斯(Jose Rodriguez)发现的,他在去年9月发现了一个类似的锁屏漏洞。罗德里格斯最新发现的这个漏洞似乎只在特定情况下才有效。据他提供的概念验证视频来看,只有iPhone 6s和iPhone 6s Plus并且它们的Siri应用被设置成允许与Twitter、联系人和照片进行搜索整合时,这个漏洞才有用。

  在示范案例中,用户或者非法用户可以通过长按Home按钮或者语音指令启动Siri,然后要求虚拟助手进行Twitter搜索。如果搜索结果包含可执行的联系人数据比如电子邮箱地址,用户或非法用户就可以利用3D Touch手势呼出相关菜单,继而发送电子邮件、添加或修改联系人信息。

  在3D Touch的“快速操作”(Quick Actions)菜单中,点击“添加到现有联系人”就可以打开iPhone的联系人清单。在适当配置下,用户或非法用户还可以进一步访问手机的照片库。

  罗德里格斯称,非法用户还可以利用这个漏洞通过Siri的搜索结果来访问WhatsApp的好友信息。

  需要指出的是,这个安全漏洞必须在特定情况下才能奏效。手机用户必须授权Siri访问他们的Twitter帐户、照片库或相关应用或者手动配置服务权限才行。当用户第一次要求Siri进行Twitter搜索时,Siri会要求访问权限。为了验证所有权,Siri会要求Twitter帐户所有人通过密码或Touch ID进行确认。

  如果用户担心自己的设备被非法入侵了,可以通过设置菜单关闭Siri来禁用Siri与Twitter整合的功能。只要在隐私设置菜单中关闭Siri整合功能,就可以切断Siri与照片库之间的联系。用户们还可以通过彻底禁用Siri来达到相同的目的。

内容加载中