苹果iPhone新漏洞:绕过密码访问联系人和照片
2019-11-29

一种新的绕过iPhone密码的技术浮出水面,可以无限制地访问用户的联系人和照片。这一漏洞最早是由iPhone发烧友Jose Rodriguez发现的。他在自己的YouTube频道Videosdebarraquito上发布了一段西班牙语视频,详细介绍了这个方法。

另一个YouTube频道EverythingApplePro也在Jose Rodriguez之后不久发布的一段英语视频中展示了这一漏洞。

值得注意的是,这个漏洞似乎影响了所有的iPhone机型,包括最新的iPhone XS和iPhone XS Max——它们都能运行最新的软件,其中包括iOS 12和iOS 12.1的最新测试版。

需要明确的是,这个可以绕过iPhone密码的漏洞并不容易被利用。它需要通过复杂的37步过程,并且利用了Siri和VoiceOver辅助功能。当然,它还需要对设备进行物理访问,而且锁定屏幕上的Siri是启用的。

有趣的是,Face ID需要被禁用,或者TrueDepth相机需要被物理覆盖以保证可以绕过iPhone密码。一旦使用了这个漏洞,攻击者就可以获得对用户联系人列表的完全未经身份验证的访问,该列表包括电话号码、电子邮件地址和联系人的其他数据。

除了不用身份验证就访问iPhone的联系人之外,攻击者还可以进一步访问iPhone的相册。虽然这有点复杂,但是攻击者完全有可能有足够的时间和精力访问用户的隐私照片。

如果你担心攻击者会访问你的联系人或照片,在苹果解决这个问题之前,你可以做几件事来保护自己。首先,打开Face ID功能,不要让你的手机离开你的视线太久。不过,要想完全降低这个漏洞的风险,最好的办法是禁用Siri在锁定屏幕上的访问权限,但是这会阻碍你充分享受iOS 12的Siri功能。