iOS 惊现大漏洞:无需密码即可访问你的 iPhone 照片或消息-阿里云开发者社区

开发者社区> 寒凝雪> 正文

iOS 惊现大漏洞:无需密码即可访问你的 iPhone 照片或消息

简介:
+关注继续查看

11月16日,外媒 softpedia 上爆出一个惊人的大消息:iOS 中有一个严重的安全漏洞,任何人都可以借助它来绕过 Passcode 的保护来查看 iPhone 上的照片或阅读已有的消息,更可怕的是,即使你已经配置了 Touch ID,该方法同样适用。

意思就是:

男朋友和女朋友在吵架。

女朋友说:“不要以为我不知道,你最近在和一个小妖精勾搭!”

男朋友装无辜:“亲爱的你不要胡思乱想,天地良心,我对你是忠贞不二的。”

看了这篇报道的女朋友想起了 iOS 这个漏洞,男朋友内心还在庆幸:还好你不知道我的密码,也没加你的指纹解锁。

结果女朋友一股脑调出了男朋友少儿不宜的照片和暧昧短信。

那么,到底是如何绕过密码直接高能查看 iPhone 上的照片或消息的呢?

一、实操教程

这个漏洞由 EverythingApplePro 和 iDeviceHelps 发现,这场“惨案”是从 Siri 开始的:

1.获知机主的手机号码。

如何获得?只要向 Siri 问一句“我是谁?”你的信息很可能就被和盘托出——这里指的是你的手机号码。雷锋网(公众号:雷锋网)编辑亲测了一下,第一次是失败的:

iOS 惊现大漏洞:无需密码即可访问你的 iPhone 照片或消息

但是,如果你已经按照这个设置,弹出来的就是这个界面( Siri 就这么出卖了我……的手机号):

iOS 惊现大漏洞:无需密码即可访问你的 iPhone 照片或消息

  2.呼叫第一个步骤获取的受害者号码,甚至可以用 FaceTime 来打电话。

3.点击消息,自定义(弹出“新消息”屏幕),输入回复。用 Home 键激活 Siri,说出“启用VoiceOver”的语音命令,然后返回消息屏幕。

接下来这一步可能无法一次成功,但在多次尝试之后还是有可能成功。在输入号码栏上双击并按住,然后立即点击键盘。多次重复此操作,直至键盘上方出现 slide-in 的效果,然后向 Siri 表示“停用 Voice OVer”。

4.在顶栏上输入联系人的首字母,点击名字上圆形的“i”图标。新建一个联系人,点击添加照片、选择照片。

即使 iPhone 没有解锁,仍然能够通过这一方法正常浏览该手机用户的相册。同时,只需选择任意联系人,也可以看到相关短信内容。

以下是详细操作视频:

二、如何“防御”这个BUG

尽管苹果似乎知道了这个 bug ,但是该 bug 尚未被修复,为了保证安全,不让大家看到自己手机里的小秘密,建议进行下面的操作:禁止在锁屏下使用Siri,在设置中找到“ Siri -> 锁屏访问 ”,关掉。

softpedia 预估,在 iOS 10.2 正式版本中,这个问题可能得到修复,目前,iOS 8到最新的iOS 10.2 beta 3版本的系统都受到这一漏洞的影响。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
iOS访问通讯录开发-读取联系人信息
<p>读取通信录中的联系人一般的过程是先查找联系人记录,然后再访问记录的属性,属性又可以分为单值属性和多值属性。通过下面例子介绍联系人的查询,以及单值属性和多值属性的访问,还有读取联系人中的图片数据。</p> <p align="center"><span id="more-352"></span><a href="http://iosbook1.com/?attachment_id=353"
1102 0
SpringBoot-18-之AOP+log4j 记录访问请求信息
org.springframework.boot spring-boot-starter-aop log4j log4j 1.
1049 0
System.UnauthorizedAccessException: 拒绝访问 temp 目录。用来运行 XmlSerializer 的标识“NT AUTHORITY\NETWORK SERVICE”没有访问 temp 目录的足够权限。CodeDom 将使用进程正在使用的用户帐户进行编译,这样,如
原文:System.UnauthorizedAccessException: 拒绝访问 temp 目录。用来运行 XmlSerializer 的标识“NT AUTHORITY\NETWORK SERVICE”没有访问 temp 目录的足够权限。
910 0
iOS Jailbreak Principles - Sock Port 漏洞解析(一)UAF 与 Heap Spraying
本文同步发表在 [掘金社区](https://juejin.im/post/5dd10660e51d453fac0a598d) 和 [微信公众号](https://mp.weixin.qq.com/s?__biz=MzU2NjU5NzMwNA==&mid=2247483739&idx=1&sn=2a60b11800c80ca32e8f6ddea6284ae7&chksm=fcab428ccbdcc
307 0
基于Unity的AOP的符合基于角色的访问控制(RBAC)模型的通用权限设计
AOP的特性使得它非常适合用来设计类似权限控制的功能,这是本文的基础,如果想要了解AOP的实现,可以参考《动态织入的AOP实现》。 在基于角色的访问控制(RBAC)中,有三要素:用户、角色、任务(或操作)(User、Role、Task),其稳定性逐渐增强,两个关系,UserRole、RoleTas...
567 0
黑客能篡改WiFi密码,源于存在漏洞
随着社会的快速发展,城市中的无线网络遍布各处,如,首先是自家,一般都会接入光纤网络,然后是出行的交通工具汽车,火车,飞机等,或者是公园广场,商场,酒店等都是存在着无线网络,而且有一些无线网络是免密码连接就可以用的,那么它们是否存在安全问题呢?黑客会盯上WiFi网络吗?答案是会的。
1240 0
mysql设置密码与远程访问
应用场景 mysql搭建完毕后,需要进行使用,但是发现没有密码,没有安全保障。另外,在命令行执行mysql很麻烦,非常变扭,可以通过Navicat客户端工具连接mysql,界面化,使库表结构更加清晰可见,所以需要设置...
837 0
+关注
5854
文章
223
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载