iPhone锁屏旁路漏洞“辞旧迎新”

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：有人揭露了跳过iPhone屏锁，窃取手机照片的新方法，而Apple几天前才发布了类似漏洞补丁。

九月下旬，iPhone狂热粉何塞·罗德里格斯(Jose Rodriguez），其YouTube频道“videosdebarraquito”广为人知，发现还有一种方法可跳过iPhone锁屏。该方法适用于新发布的iPhone XS，该型号iPhone运行着Apple最新版移动操作系统iOS 12。

罗德里格斯展示了黑客如果通过物理访问攻击目标设备，利用Siri及VoiceOver属性窃取用户手机照片。

10月8日，Apple发布了iOS12.0.1，修补了该漏洞（CVE-2018-4380)。

 不过，几天后的10月12日，罗德里格斯又展示了另一种适用于iOS 12.0.1的锁屏旁路。

 

该新方法同样需要用到Siri和VoiceOver，通过其无障碍属性的朗读功能，帮助视觉障碍者了解屏幕内容及按键。

 

首先，黑客会给目标设备打电话，如果不知道手机号码的话，可叫Siri读出来。打完电话，黑客可通过通话页面点击Messages图标，之后再借Siri激活VoiceOver。

 

该方法与之前的锁屏旁路相似，即利用VoiceOver调出隐藏键与隐藏功能。这些按键在屏幕上找不到，但可通过VoiceOver找到并激活。黑客可利用该方法打开“照片库”，并查看最近的照片。

 

与之前的锁屏旁路相比，该新方法更简单，且黑客不仅可通过该方法查看照片，同时还能将照片发送到其他设备。除此之外，该新方法带来的风险更大，因其可将目标手机全分辨率照片发送到其他设备，而之前的入侵方法只能查看尺寸更小的预览图图像。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读：

• 手机“自动订房”？现场检测揭秘真相

• 如何利用分段机制保护物联网？

• Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下

• 隐私保护搜索引擎DuckDuckGo日搜索量达3千万余次
  

• 我们要淘汰密码，可我们确定要用什么代替它了吗？
  

• 一俄罗斯网络义警正修补暴露于网络的过时Mikrotik路由器

• 美国国防部数据泄露  暴露3万条旅游记录

▼点击“阅读原文” 查看更多精彩内容