11月16日,外媒 softpedia 上爆出一个惊人的大消息:iOS 中有一个严重的安全漏洞,任何人都可以借助它来绕过 Passcode 的保护来查看 iPhone 上的照片或阅读已有的消息,更可怕的是,即使你已经配置了 Touch ID,该方法同样适用。
回顾一下漏洞的步骤,
首先,假设Siri是已经设置过“我是谁”的。获知机主的手机号码。用其他电话呼叫第一个步骤获取的受害者号码,甚至可以用 FaceTime 来打电话。点击消息,自定义(弹出“新消息”屏幕),输入回复。用 Home 键激活 Siri,说出“启用VoiceOver”的语音命令,然后返回消息屏幕。在顶栏上输入联系人的首字母,点击名字上圆形的“i”图标。新建一个联系人,点击添加照片、选择照片。大功告成。有读者表示,没看懂,或者按照操作没成功。那怎么行?!本着服务读者的精神,雷锋网(公众号:雷锋网)宅客频道特地邀请 360 涅槃团队研究 iOS 系统的宋波来实际操作一下,没想到,在操作的过程中,宋波发现了“意外惊喜”:这个 iOS 漏洞不仅可以实现看照片和短信,还能打电话和发短信!
来复盘一下整个操作步骤(备注:所有截图均由宋波提供,操作教程为宋波口述,实验环境为 iOS 9.2 或者 10.1 )
1.假设 Siri 是已经设置过“我是谁”,获知机主的手机号码。如果你已经提前知道机主号码,是“熟人作案”的话,可以调到下一步。
2.用另外一个手机给机主打电话,机主收到来电,出现左图画面,选择“信息”,进入右图界面,选择“自定义”。
3.此时,你会进入一个编辑新信息的界面(左图),长按 HOME 键,会进入到 Siri 界面(右图),要 Siri 打开 VoiceOver 。VoiceOver 是语音引导功能,如果此前没有打开过这个功能,那么 Siri 无法打开这个功能,自此后续无法开展,故事会大结局。如果曾经打开过,好戏在后头。打开 VoiceOver 很简单,打开“设置”,进入“通用”,再进入“辅助功能”。切记,记得关掉。
4.按 HOME 键回到新消息界面,使用 VoiceOver 进行操作,成败关键在于 VoiceOver 是否打开,如果没有启用这个功能,新消息界面的地址栏将无法编辑。如左右图对比,右图是可以编辑的状态。(另外,建议你提前学习下 VoiceOver 怎么使用,不然操作难受到哭,不要问编辑怎么知道的。 )
5. 使用 VoiceOver ,点击,再双击,用 VoiceOver 操作,选择地址栏输入后,你无法看到输入框的变化,但下面的键盘显示会有变化。请注意听语音提示,语音会告诉你XXXX正在编辑,插入点在开头(结尾)。发现这两点就意味着你已经选中了地址栏可以输入了。
6.能够进行输入操作后先用删除按钮把地址栏之前的号码删除,地址栏会变成这样:
注意,为了方便截图显示给读者看,至此都没有关掉 VoiceOver ,事实上在你选中地址栏那一步后,已经可以关掉 VoiceOver 了。
7.在地址栏中输入数据,如“1”,会出现没有添加到通讯录的号码,输入“M”,可能会出现通讯录中已有的联系人,如图所示:
8.在上述左图非通讯录号码旁,会看到一个“i”标志,点击进入,可以看到把它添加到通讯录的界面:
9.在此界面有一个添加照片的功能,选择添加照片,就会出现上图最右的界面,自此你就可以看手机的照片了。如果点击上图左一的手机功能,就可以给非通讯录号码打电话了(界面上没有显示,但实际电话已经打出去了),而如果输入的是通讯录好友地址,比如“妈妈”,会回到发送新消息的界面,可以使用发短信功能。
那么,是否可以给非通讯录号码发短信?
宋波表示,如果把非通讯录号码添加到通讯录,也可以实现对这个号码发短信的功能。
这意味着,什么“熟人作案”“查岗”都完全有可能。所以,为了不被发现小秘密,你需要禁止在锁屏下使用Siri,在设置中找到“ Siri -> 锁屏访问 ”,关掉,也可以看完文章后不要充满好奇心的尝试,永不打开 VoiceOver 。
或者,干脆抛弃你的 iPhone 吧。不过,谁知道安卓系统又会爆出什么鬼!
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 2025年全球网络安全支出将激增15% | 行业观察
- 华为数据存储两大新品齐发:全面闪存化,全面向AI
- 数据中心太耗电,微软携手Constellation Energy探索核能供电新途径
- 戴尔一周内发生两起数据泄露事件,Atlassian工具成泄露源头
- 华为ICT学院年会2024举办,ICT学院3.0计划正式启航
- 华为启动全球金融伙伴“融海计划”,共创行业新价值
- 华为联合多家伙伴发布《现代化金融核心系统白皮书:实践篇》
- 华为发布数据智能解决方案5.0,加速金融大模型应用从“赋能”到“产能”
- 华为加速推动鲲鹏昇腾原生创新,未来三年赋能百万原生人才
- 第九届华为ICT大赛中国赛区报名通道开启,大赛真题集首发
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
