iOS 設備在現在出現了一個嚴重的漏洞,漏洞的嚴重性涉及到了信息的洩露,並且破解這個漏洞的方式不複雜。根據「業餘iOS黑客」Jose Rodriguez 的發現,iOS 設備上存在一個一項模糊、但有效的鎖屏旁路漏洞。

根據周五發布的 YouTube 自頻道影片演示,看到了如何通過 VoiceOver 的這個漏洞,查看一部處於鎖屏狀態中 iPhone 裡的照片,並且將其轉發到另一台設備中。

這個過程首先需要 iPhone 接到一個來自外部的電話號碼,這個號碼會觸發標準的 iOS 通話。假如你不知道目標 iPhone 的手機號碼,可以通過 Siri 來逐個撥打個人電話得到。在概念驗證影片中,Rodriguez 點擊了iOS 調用屏幕上的「消息」選項、選擇了「自定義」以顯示用戶的消息界面。然後在文本框中輸入幾個隨機字母,調用 Siri 來激活 VoiceOver 。

後面接著返回消息界面,點擊相機圖示。同時使用 iPhone 側鍵啟用 Siri ,和雙擊屏幕觸發,達到一定精度後的就執行特定的操作步驟。但當成功之後,會顯示黑屏,VoiceOver 的文本選擇工具,卻能夠通過典型的導航手勢,來訪問「隱藏的」UI 選項。當你在空白屏幕上向左滑動時,就可以到「照片庫」。雙擊則返回到消息應用程式。文本輸入框下方的應用抽屜是空白的,但是應用選項卡的摺疊按鈕卻處於活動狀態。

點擊需要的元素,向右滑動,就可以讓 VoiceOver 到達不該被訪問的目標設備照片,並會大聲朗讀其詳細信息。雖然在照片庫中滑動看到的 UI 模糊不清,但當你雙擊照片,它就會插入到文本框裡,可以進行查看和發送。

目前外媒 Apple Insider 對已在運行 iOS 12.0.1 的機型進行了測試,包括最新的 iPhone XS / XS Max。已經充分驗證了 Rodriguez 的這項發現。當 VoiceOver 漏洞發現的兩週之後,有關相關旁路攻擊的消息就已經開始出現。

導致這種情況原因在於新漏洞的技巧要求不高,而獲得的資訊又很多。對於擔心被影響的用戶,可以先在手機設置選單下的「Face ID 與密碼」或「Touch ID 與密碼」裡,將「鎖定時允許使用」的 Siri 設定為「關閉」,以避免出現這種情況。

Like
Like Love Haha Wow Sad Angry
立即 Follow:Qooah IG (@qooah),八掛產品發佈會現場,睇盡靚靚 Show Girls

發表意見

發表意見

最新文章

Facebook 正式推出旗下加密貨幣「Libra」,預計 2020 年流通使用

如先前市場傳聞,Facebook 確認將於 202...

Pixel 4 XL 實機及包裝照片曝光

Google 每年推出自家品牌 Pixel 系列,...

LG 新機 Stylo 5 渲染圖流出

據報導, LG Stylo 5 中階智能手機的渲染...

HTC U19e 香港發售,SmarTone 推獨家半價優惠 + 4.5G 全速雙倍數據

HTC 近年手新機雖然不多,但中階型號依然有。上星...

OPPO 推滑蓋手機設計曝光

近日, OPPO 用於旋轉彈出式自拍相機的手機獲得...