漏洞说明
无意间在网上看到iPhone xs出现了漏洞,漏洞的大概内容是:
无需密码就可访问通讯录和相册
好像每次新款的iPhone出来都会有类似的问题,按照网上,我们有师傅(绝对的土豪师傅)测试了一下:
复现方式
主要有如下几个步骤:
- 在锁屏上打开Siri,借助Siri打开Voice Over开关。
- 借助来电转到短信界面。
- 在短信界面卡出空白bug,访问通讯录,并且借助通讯录访问相册。
复现的视频如下所示:
防范措施
防范措施如下:
- 打开 Face ID 功能,因为这个漏洞的使用前提是禁用Face ID。
- 禁用 Siri 在锁定屏幕上的访问权限。
后记
目前苹果官方还没有给出修复意见,大家可以勉强按照上述方法修复,有xs的土豪注意一下,小心被查岗。。。。。。
不过话说回来了,苹果系统安全性还是比较高的,这个锁屏的漏洞利用起来实际上也很鸡肋,比如需要在本地利用,还需要知道手机号码,况且只能知道相册的内容,不过最为极客,就是要来研究安全问题的,土豪朋友们不必过于担心。
