新闻快讯
< >

iPhone锁屏旁路漏洞“辞旧迎新”

有人揭露了跳过iPhone屏锁,窃取手机照片的新方法,而Apple几天前才发布了类似漏洞补丁。

iPhone锁屏旁路漏洞“辞旧迎新”-E安全        

九月下旬,iPhone狂热粉何塞·罗德里格斯(Jose Rodriguez),其YouTube频道“videosdebarraquito”广为人知,发现还有一种方法可跳过iPhone锁屏。该方法适用于新发布的iPhone XS,该型号iPhone运行着Apple最新版移动操作系统iOS 12。

罗德里格斯展示了黑客如果通过物理访问攻击目标设备,利用Siri及VoiceOver属性窃取用户手机照片

10月8日,Apple发布了iOS12.0.1,修补了该漏洞(CVE-2018-4380)。

不过,几天后的10月12日,罗德里格斯又展示了另一种适用于iOS 12.0.1的锁屏旁路。

该新方法同样需要用到Siri和VoiceOver,通过其无障碍属性的朗读功能帮助视觉障碍者了解屏幕内容及按键。

首先,黑客会给目标设备打电话,如果不知道手机号码的话,可叫Siri读出来。打完电话,黑客可通过通话页面点击Messages图标,之后再借Siri激活VoiceOver

该方法与之前的锁屏旁路相似,即利用VoiceOver调出隐藏键与隐藏功能。这些按键在屏幕上找不到,但可通过VoiceOver找到并激活。黑客可利用该方法打开“照片库”,并查看最近的照片。

与之前的锁屏旁路相比,该新方法更简单,且黑客不仅可通过该方法查看照片,同时还能将照片发送到其他设备。除此之外,该新方法带来的风险更大,因其可将目标手机全分辨率照片发送到其他设备,而之前的入侵方法只能查看尺寸更小的预览图图像