繞過密碼就能訪問iPhone照片或消息 連iOS 10也受影響

責(zé)任編輯:editor005

作者:Alpha_h4ck

2016-11-18 15:09:37

摘自:黑客與極客

設(shè)置iPhone的鎖屏密碼是防止他人訪問你個人數(shù)據(jù)的首選方法,而且鎖屏密碼也是你手機(jī)安全的第一道防線,這一點(diǎn)對于Android也同樣是如此。在蘋果公司正式修復(fù)這個問題之前,iOS用戶可以禁用鎖屏狀態(tài)下的Siri功能來保護(hù)自己的安全。

設(shè)置iPhone的鎖屏密碼是防止他人訪問你個人數(shù)據(jù)的首選方法,而且鎖屏密碼也是你手機(jī)安全的第一道防線,這一點(diǎn)對于Android也同樣是如此。

但是你知道嗎?最近幾個大版本的iOS鎖屏保護(hù)機(jī)制存在安全漏洞,心懷不軌的人可以利用這個漏洞輕而易舉地繞過iPhone的鎖屏密碼并訪問你手機(jī)中的照片和消息。需要注意的是,指紋解鎖(TouchID)也救不了你!

Clipboard Image.png

根據(jù)國外媒體的最新報道,安全研究人員在iOS8、iOS9和iOS10(包括iOS10.2 beta 3)中發(fā)現(xiàn)了一個嚴(yán)重的安全漏洞,這個漏洞將允許攻擊者繞過iPhone的鎖屏密碼,并利用蘋果個人助手Siri的相關(guān)功能訪問到目標(biāo)用戶iPhone中的個人數(shù)據(jù)。

據(jù)了解,這個漏洞是由EverythingApplePro(一位YouTube用戶)和iDeviceHelps(國外的一家科技網(wǎng)站)發(fā)現(xiàn)的。他們目前已經(jīng)發(fā)布了一個演示視頻,估計蘋果公司會在下一個iOS beta版中修復(fù)這個漏洞。

從演示視頻中可以看到,攻擊者只需要獲取到目標(biāo)iPhone的手機(jī)號碼,他就可以訪問到手機(jī)中的數(shù)據(jù)。雖然只能訪問幾分鐘,但這也足夠了。

不過,如果你無法獲取到目標(biāo)iPhone的手機(jī)號碼呢?別擔(dān)心,你可以按住iPhone的home鍵來激活Siri,然后問Siri:“我是誰(Who am I)?”Siri便會毫不猶豫地告訴你這臺iPhone當(dāng)前所使用的手機(jī)號碼。

如何繞過iPhone的鎖屏界面?

得到了目標(biāo)iPhone的手機(jī)號碼之后,你就可以按照下面給出的幾個簡單步驟來讀取iPhone中的用戶消息和用戶照片了:

第一步:既然你已經(jīng)得到了目標(biāo)iPhone當(dāng)前所使用的手機(jī)號碼,接下來打電話給這臺iPhone。你想用FaceTime也可以,這取決于你自己。

第二步:現(xiàn)在,目標(biāo)iPhone的屏幕上會顯示一個消息圖標(biāo),點(diǎn)擊這個“消息圖標(biāo)”,然后選擇“自定義消息”。此時你會進(jìn)入編輯新消息的界面,你可以在這里輸入消息的回復(fù)內(nèi)容。

第三步:接下來,長按home鍵激活Siri助手,然后對著手機(jī)麥克風(fēng)說:“啟用VoiceOver”。Siri會幫你完成剩下的操作,即啟用VoiceOver功能。

第四步:返回新消息編輯界面,雙擊頂部“收信人”那一欄,然后迅速按住這一欄。按住的同時,立刻點(diǎn)擊下方的輸入鍵盤。這個操作可以無法一次成功,所以需要多嘗試幾次才可以。不斷重復(fù)這些操作,直到你看到鍵盤上方出現(xiàn)了滑入效果,這樣就成功了。

第五步:現(xiàn)在,讓Siri幫你停用VoiceOver,然后回到消息界面。在頂欄上輸入聯(lián)系人的首字母,點(diǎn)擊旁邊的 圖標(biāo),然后創(chuàng)建一個新的聯(lián)系人。

第六步:接下來,你就可以點(diǎn)擊“添加照片”,然后選擇一張照片。沒錯,現(xiàn)在你已經(jīng)可以看到手機(jī)中的用戶照片了。需要注意的是,此時目標(biāo)iPhone仍然處于鎖定狀態(tài)。

第七步:你可以選擇iPhone中任意一個聯(lián)系人,你也可以查看到目標(biāo)iPhone與這名聯(lián)系人之前的通話記錄。

maxresdefault (6).jpg

  視頻演示

你也可以直接觀看下面這段演示視頻,視頻中演示了完整的攻擊過程。

如何保護(hù)你自己?

在蘋果公司正式修復(fù)這個問題之前,iOS用戶可以禁用鎖屏狀態(tài)下的Siri功能來保護(hù)自己的安全。雖然這會影響iOS10的體驗度,但是信息的安全才是最重要的。

設(shè)置方法:設(shè)置->TouchID &密碼,然后關(guān)閉“鎖屏?xí)r允許訪問Siri”這個功能。關(guān)閉之后,你就只有在通過密碼或指紋解鎖iOS設(shè)備之后才能使用Siri助手了。

當(dāng)然了,你也可以移除Siri對相冊的訪問權(quán)來避免這個問題。設(shè)置方法:設(shè)置->隱私->照片,然后禁止Siri訪問用戶相冊。

不出意外的話,蘋果應(yīng)該已經(jīng)知道這個漏洞了,所以蘋果公司應(yīng)該會在iOS10.2中修復(fù)這個漏洞。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號