想不到發布還不到一日,iOS 12.1 就被發現有漏洞。這次漏洞不用在設定上容許在鎖定畫面使用 Siri ,也不用開啟 VoiceOver 畫面閱讀器,就可以在手機鎖住時不用輸入密碼,閱覽到所有聯絡人的詳細資料。
今次這個繞過密碼漏洞的兇手可以說是 iOS 12.1 才新增的「群組 FaceTime 」功能,據報道這個漏洞的 The Hacker News 指,漏洞是由一位西班牙保安研究員 Rodriguez 發現的,操作方法是這樣的:
- 致電目標 iPhone 。如果不知道手機號碼而又有開啟鎖屏時用 Siri ,是可以叫 Siri 打電話給自己來啟動程序的;
- 接通後即在同一個畫面開始 FaceTime 視像通話;
- 按下方控制面板右邊的 […] 掣,按「加入聯絡人⋯],
- 按右邊的「+」號便可打開聯絡人名單;
- 用 3D Touch 按下,就可以看到更多有關那個人的詳細聯絡資料。
Rodriguez 更發放了一條 YouTube 影片介紹他發現的漏洞:
[ot-video]
片中大家可以發現他是在鎖屏時,要 Siri 打電話給自己來啟動入侵程序的,而在開始 FaceTime 通信前,他也開啟了飛行模式,以防止誤觸聯絡人導致聯絡對方。
據知,這個漏洞影響所有裝有 iOS 12.1 iPhone ,所以如果你像小編一樣已升級到 12.1 的話,在 Apple 發放修正檔之前,還是先關掉 FaceTime 。 否則,還是先不要更新等一等好了。
Rodriguez 已經不只一次發現 iOS 12 的漏洞,文章開始時提到的 Siri 和 VoiceOver 漏洞,其實也是他發現的。
資料來源: The Hacker News
