买了iPhone11千万别借人玩,小心iOS13漏洞让你通讯录全曝光
苹果发布会前,“浴霸灯”是大家吐槽的焦点;发布会后,不少“专家”争相细数iPhone11的“N宗罪”;而最恐怖的是,今年还出了款祖母绿~
于是,不少人立誓不购入新机......
9月16日,宅宅被朋友圈piapia地打脸声吵醒,一则新闻被刷屏了:
真香!
Emm~身为真香群众一员,苦命的宅宅并无卖肾买新机的觉悟,而是本着换新机一时爽,更系统一直爽的心态升级了iOS13,原想能获得1/2的新机体验。谁曾想,却为黑客开了后门......
没错,iOS13有漏洞!!!
这是个密码旁路漏洞,简单来说,就是黑客能不用解锁直接访问你的iPhone通讯录信息。
按理来说,手机在锁定状态下不应该被允许查看设备存储的信息,如联系人、图片、消息等,但近日安全研究员何塞·罗德里格兹(Jose Rodriguez)公开披露了这一漏洞,它可以让黑客利用手机的“信息回复”及“Voice-over”功能跳过锁屏保护的安全机制。
Rodriguez在网上上传了使用该漏洞进行攻击的详细操作过程,其攻击的方式可以分成以下步骤:
1、使用自定义消息回复来电。
2、启用VoiceOver功能。
3、禁用VoiceOver功能
4、将新联系人添加到自定义消息
5、单击联系人图像以打开选项菜单,然后选择“添加到现有联系人”。
6、当显示联系人列表时,点击其他联系人以查看其信息。
期间,攻击者需要使用到Siri执行语音操控来开关“VoiceOver”辅助功能,在功能开启的状态下切回到信息回复界面,然后再关闭“VoiceOver”辅助功能。
至此,攻击者已经完成前置阶段,接下来只需要根据页面提示点按“+”即可随意查看通讯录信息。
可被泄露的通讯录中,包含了电话号码、邮箱、姓名、住址等信息,甚至还可以进行新增联系人操作。
显然,要完成上述操作攻击者首先要拿到目标手机,然后往目标手机拨打电话或者FaceTime再进行操作。
So,如果你的iPhone11已到货,千万提防主动要求“观摩”一番的身边人吧。
Rodriguez解释说,他在2019年7月17日便就此漏洞联系了苹果公司,而当时iOS13仍处于测试阶段。截至9月11日,当该漏洞被公开披露时,苹果依然没有修复漏洞。
苹果宣布,iOS13将于当地时间9月19日星期四正式发布(北京时间9月20日推出)。在这之前,苹果或将发布补丁修复上述漏洞,以保证所有升级iOS13系统的苹果设备的安全。
目前,iPhone用户可以从Face ID与密码设置中关闭“以信息回复”的功能,以此杜绝上述风险。
该漏洞并非首次发现,研究人员曾发现密码旁路攻击可以绕过iOS操作系统12.0.1和12.1中的版本。
参考来源:
bleepingcomputer
https://www.bleepingcomputer.com/news/security/ios-13-passcode-bypass-lets-you-view-contacts-on-locked-devices/
-----招聘好基友的分割线-----
招聘岗位:
网络安全编辑(采编岗)
工作内容:
主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等;
采访国内外网络安全研究人员,撰写原创报道,输出领域的深度观点;
针对不同发布渠道,策划不同类型选题;
参与打理宅客频道微信公众号等。
岗位要求:
对网络安全有兴趣,有相关知识储备或从业经历更佳;
科技媒体1-2年从业经验;
有独立采编和撰写原创报道的能力;
加分项:网感好,擅长新媒体写作、90后、英语好、自带段子手属性……
你将获得的是:
与国内外网络安全领域顶尖安全大牛聊人生的机会;
国内出差可能不新鲜了,我们还可以硅谷轮岗、国外出差(+顺便玩耍);
你将体验各种前沿黑科技,掌握一手行业新闻、大小公司动向,甚至是黑客大大们的独家秘闻;
老司机编辑手把手带;
以及与你的能力相匹配的薪水。
坐标北京,简历投递至:liqin@leiphone.com
戳蓝字查看更多精彩内容 探索篇 ▼ 真相篇 ▼ 人物篇 ▼ 更多精彩正在整理中…… |
---
“喜欢就赶紧关注我们”
宅客『Letshome』
雷锋网旗下业界报道公众号。
专注先锋科技领域,讲述黑客背后的故事。
长按下图二维码并识别关注
相关内容
微信扫码咨询专知VIP会员