iOS漏洞允许任何人绕过Passcode访问iPhone照片和消息-阿里云开发者社区

开发者社区> 寒凝雪> 正文

iOS漏洞允许任何人绕过Passcode访问iPhone照片和消息

简介:
+关注继续查看

据外媒报道,一名安全研究人员在iOS中发现了一个严重的安全漏洞,任何人都可以借助它来绕过Passcode的保护来查看iPhone上的照片或阅读已有的消息。更糟糕的是,即使你已经配置了Touch ID,该方法同样适用。EverythingApplePro和iDeviceHelps发现,该漏洞会利用Siri来攻破设备,且只需简单的几个步骤,其影响从iOS 8到最新的iOS 10.2 beta 3版本的系统。

要重现这个bug,你得先获知机主的手机号码(向Siri问一句“我是谁?”就露馅了),接着呼叫(通过上一步骤获取的)受害者号码、甚至可以用FaceTime。

点击消息,自定义(弹出‘新消息’屏幕),并开始输入回复。用Home键激活Siri,说出“启用VoiceOver”的语音命令,然后返回消息屏幕。

接下来这一步可能无法一次成功(但在多次尝试之后还是有可能得逞):在输入号码栏上双击并按住,然后立即点击键盘。

多次重复此操作,直至键盘上方出现slide-in的效果,然后向Siri表示“停用VoiceOVer”。

接下来的一切就很简单了:在顶栏上输入联系人的首字母,点击名字上圆形的“i”图标。然后新建一个联系人,点击添加照片、选择照片。

即使在iPhone未解锁的情况下,任何人仍然能够通过这一方法“正常浏览”到用户的相册。此外,只需选择任意联系人,也可以看到相关的短信内容。

作为一项最简单的预防措施,在苹果发布修复之前,你最好到禁止在锁屏下使用Siri。方法是在设置中找到“Siri->锁屏访问”,然后将它关掉。

相信苹果已经知道了这个bug的存在,并在未来版本的iOS中及时修复(在iOS 10.2正式版本中打上补丁的可能性最高)。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Java——基于java自身包实现消息系统间的通信(TCP/IP+BIO)
          最近看到阿里的一位童鞋写的一本关于分布式的书,感觉不错,准备把这本书上基础的代码都写一写。 /** * Created by LiuHuiChao on 2016/11/15.
829 0
iOS访问通讯录开发-读取联系人信息
<p>读取通信录中的联系人一般的过程是先查找联系人记录,然后再访问记录的属性,属性又可以分为单值属性和多值属性。通过下面例子介绍联系人的查询,以及单值属性和多值属性的访问,还有读取联系人中的图片数据。</p> <p align="center"><span id="more-352"></span><a href="http://iosbook1.com/?attachment_id=353"
1102 0
Java——基于java自身包实现消息系统间的通信(TCP/IP+NIO)
/** * Created by LiuHuiChao on 2016/11/15. * description:based on TCP/IP+NIO to deliver the message */ public class TCP_IP_NIO { @Test ...
864 0
SpringBoot-18-之AOP+log4j 记录访问请求信息
org.springframework.boot spring-boot-starter-aop log4j log4j 1.
1045 0
iOS Jailbreak Principles - Sock Port 漏洞解析(一)UAF 与 Heap Spraying
本文同步发表在 [掘金社区](https://juejin.im/post/5dd10660e51d453fac0a598d) 和 [微信公众号](https://mp.weixin.qq.com/s?__biz=MzU2NjU5NzMwNA==&mid=2247483739&idx=1&sn=2a60b11800c80ca32e8f6ddea6284ae7&chksm=fcab428ccbdcc
307 0
基于Unity的AOP的符合基于角色的访问控制(RBAC)模型的通用权限设计
AOP的特性使得它非常适合用来设计类似权限控制的功能,这是本文的基础,如果想要了解AOP的实现,可以参考《动态织入的AOP实现》。 在基于角色的访问控制(RBAC)中,有三要素:用户、角色、任务(或操作)(User、Role、Task),其稳定性逐渐增强,两个关系,UserRole、RoleTas...
567 0
国内研究人员发现GMR-2漏洞,可实时解密卫星电话通讯
本文讲的是国内研究人员发现GMR-2漏洞,可实时解密卫星电话通讯,近日,有报道称两名中国的安全研究人员发现GMR-2标准在具体实施中的漏洞,并且可以利用这些漏洞在几秒钟内对卫星电话通讯进行解密。
1074 0
+关注
5854
文章
223
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载