iOS漏洞允许任何人绕过Passcode访问iPhone照片和消息-阿里云开发者社区

开发者社区> 寒凝雪> 正文

iOS漏洞允许任何人绕过Passcode访问iPhone照片和消息

简介:
+关注继续查看

据外媒报道,一名安全研究人员在iOS中发现了一个严重的安全漏洞,任何人都可以借助它来绕过Passcode的保护来查看iPhone上的照片或阅读已有的消息。更糟糕的是,即使你已经配置了Touch ID,该方法同样适用。EverythingApplePro和iDeviceHelps发现,该漏洞会利用Siri来攻破设备,且只需简单的几个步骤,其影响从iOS 8到最新的iOS 10.2 beta 3版本的系统。

要重现这个bug,你得先获知机主的手机号码(向Siri问一句“我是谁?”就露馅了),接着呼叫(通过上一步骤获取的)受害者号码、甚至可以用FaceTime。

点击消息,自定义(弹出‘新消息’屏幕),并开始输入回复。用Home键激活Siri,说出“启用VoiceOver”的语音命令,然后返回消息屏幕。

接下来这一步可能无法一次成功(但在多次尝试之后还是有可能得逞):在输入号码栏上双击并按住,然后立即点击键盘。

多次重复此操作,直至键盘上方出现slide-in的效果,然后向Siri表示“停用VoiceOVer”。

接下来的一切就很简单了:在顶栏上输入联系人的首字母,点击名字上圆形的“i”图标。然后新建一个联系人,点击添加照片、选择照片。

即使在iPhone未解锁的情况下,任何人仍然能够通过这一方法“正常浏览”到用户的相册。此外,只需选择任意联系人,也可以看到相关的短信内容。

作为一项最简单的预防措施,在苹果发布修复之前,你最好到禁止在锁屏下使用Siri。方法是在设置中找到“Siri->锁屏访问”,然后将它关掉。

相信苹果已经知道了这个bug的存在,并在未来版本的iOS中及时修复(在iOS 10.2正式版本中打上补丁的可能性最高)。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
System.UnauthorizedAccessException: 拒绝访问 temp 目录。用来运行 XmlSerializer 的标识“NT AUTHORITY\NETWORK SERVICE”没有访问 temp 目录的足够权限。CodeDom 将使用进程正在使用的用户帐户进行编译,这样,如
原文:System.UnauthorizedAccessException: 拒绝访问 temp 目录。用来运行 XmlSerializer 的标识“NT AUTHORITY\NETWORK SERVICE”没有访问 temp 目录的足够权限。
934 0
SpringBoot-18-之AOP+log4j 记录访问请求信息
org.springframework.boot spring-boot-starter-aop log4j log4j 1.
1075 0
iOS Jailbreak Principles - Sock Port 漏洞解析(一)UAF 与 Heap Spraying
本文同步发表在 [掘金社区](https://juejin.im/post/5dd10660e51d453fac0a598d) 和 [微信公众号](https://mp.weixin.qq.com/s?__biz=MzU2NjU5NzMwNA==&mid=2247483739&idx=1&sn=2a60b11800c80ca32e8f6ddea6284ae7&chksm=fcab428ccbdcc
340 0
iOS 10 不提示「是否允许应用访问数据」,导致应用无法使用的解决方案
每日更新关注:http://weibo.com/hanjunqiang  新浪微博!iOS开发者交流QQ群: 446310206 这个坑最近弄得我很抓狂,不过现在基本弄清楚了。记录一下过程中我收集到的信息,分享给大家。
1364 0
基于Unity的AOP的符合基于角色的访问控制(RBAC)模型的通用权限设计
AOP的特性使得它非常适合用来设计类似权限控制的功能,这是本文的基础,如果想要了解AOP的实现,可以参考《动态织入的AOP实现》。 在基于角色的访问控制(RBAC)中,有三要素:用户、角色、任务(或操作)(User、Role、Task),其稳定性逐渐增强,两个关系,UserRole、RoleTas...
570 0
国内研究人员发现GMR-2漏洞,可实时解密卫星电话通讯
本文讲的是国内研究人员发现GMR-2漏洞,可实时解密卫星电话通讯,近日,有报道称两名中国的安全研究人员发现GMR-2标准在具体实施中的漏洞,并且可以利用这些漏洞在几秒钟内对卫星电话通讯进行解密。
1086 0
【阿里聚安全·安全周刊】阿里安全潘多拉实验室完美越狱iOS11.2.1|Janus漏洞修改安卓app而不影响签名
关键词:阿里安全潘多拉实验室丨Janus漏洞丨御城河丨编程语言出现漏洞丨APP追踪定位丨银行APP存在漏洞丨安卓统一推送联盟|AhMyth RAT|HP笔记本
2256 0
+关注
5854
文章
223
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载