一名骇客发现iOS一个小漏洞,只要有心人士利用「VoiceOver」功能,就能在装置没有解锁的情况之下,也可骇进手机里的装置,查看所有的照片,甚至是转发!
这是一名叫Jose Rodriguez的骇客所发现。
根据外国科技网站AppleInsider报导,这个「走后门」的功能,是在锁定萤幕的状態下唤醒Siri,之后z要求Siri启动VoiceOver的功能。
开启VoiceOver之后,骇客再利用另外一支手机拨打电话给这支已开启VoiceOver功能的iPhone。
下一步,就是选择「讯息」,並选择「自定义」以显示讯息介面,然后在文字框中隨便输入几个英文字母,再要求Siri关闭VoiceOver。
重点来了,这个时候骇客就可以在装置尚未解锁的情况下,隨意查看用户的通讯录和照片,甚至可直接將照片转发给其他人。
当然,骇客首先必须知道手机號码。Rodriguez就解释,如果骇客不知道目標iPhone的號码,他们可在唤醒Siri后,先要求Siri拨打自己的手机號码,如此一来就可以拿到装置拥有者的资讯了。
不过,这项骇客行为的失败率相当高。骇客可能需要多次重复相同的过程,在一定的执行精度下才有可能成功,若是这名骇客有相当的信心要偷取用户的资讯,还是有可能在反覆尝试后成功。
AppleInsider网站也测试这项行为,他们利用安装了最新的iOS 12.0.1系统的iPhone X和iPhone XS,结果是两支手机都被成功的骇入,证实了Rodriguez所言非虚。
据了解,就目前为止还没有任何完整的解套方式。不过,用户们如果害怕个人资料外泄,可以选择关闭「锁定时允许Siri」,就可以免除在萤幕锁定的情况下可以唤醒Siri的可能。透过这个方式,將自己可能受到的损害缩到最小。
根据Apple官网,VoiceOver是以手势为基础的萤幕报读器。即使用户看不见萤幕,也能尽情使用iPhone。启动VoiceOver之后,不论用户正在使用iOS的什么功能,只要连按三下「主画面」按钮就能隨时使用。在萤幕上所进行的一切,从电池电力到是谁来电,以至於手指所点的是哪个应用程序,都能听见报读描述,也能调整適合用户的朗读速度和音调。
以下视频摘自网络,若遭刪除请见谅。