近期涉及iOS12.1修复了讨厌的锁屏旁路功能该功能可暴露您的照片内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于iOS12.1修复了讨厌的锁屏旁路功能该功能可暴露您的照片最新消息。
昨天发布的iOS 12.1更新 修复了一个漏报但危险的锁屏漏洞,该漏洞使拥有iPhone或iPad的任何人都可以查看您的照片,更糟糕的是,使用共享功能可以将照片发送给任何人。
根据苹果公司详细说明 iOS 12.1安全内容的支持文档,该错误使本地攻击者可以从锁定屏幕获取您的照片。
阅读文档:“锁定屏幕问题允许访问锁定设备上的共享功能。” “通过限制锁定设备上提供的选项解决了此问题。”
教程: 如何在锁定屏幕上保护未接来电
热情的iOS黑客Jose Rodriguez过去曾公开过其他两个锁屏漏洞,他是第一个记录此有问题的锁屏行为的人。基本上,该漏洞使用锁定设备上的带有消息的答复来访问您的照片库。
观看本月初在YouTube上发布的Jose的概念验证视频。
正如视频生动地展示的那样,攻击者首先需要通过询问Siri来了解您的电话号码。从那里接听电话,他们需要向目标设备发出呼叫,然后在“锁定”屏幕上点击“ 消息”选项,然后再选择标有“ 自定义”的选项。
AppleInsider具有其余步骤的完整摘要:
在文本框中输入几个随机字母后,他再次调用Siri激活VoiceOver。返回到消息时,Rodriguez点击相机图标,然后在使用iPhone的侧面按钮调用Siri的同时,双击屏幕以触发看似系统级的冲突。尽管必须以一定的精度执行此特定步骤,但攻击者可以多次重复此过程,直到获得所需的效果为止。
满足错误条件后,将显示黑屏。如罗德里格斯(Rodriguez)演示的那样,VoiceOver的文本选择工具能够通过典型的导航手势访问“隐藏” UI选项。在黑屏上向左滑动会将Rodriguez带到“图片库”,通过双击选择该图片库,将其返回到“消息”应用程序。
文本输入框下方的应用程序抽屉为空白,但应用程序卡折叠按钮处于活动状态。轻触所述元素(一个小的把手)并向右滑动,将使VoiceOver看不到目标设备的照片,系统会大声读取这些照片的详细信息。
扫过似乎由Messages UI遮盖的照片库,然后双击给定的照片,将图像插入到Messages文本框中。可以以这种方式插入,查看多张照片并将其发送到攻击者的设备。
尽管要复制此问题需要执行十几个步骤,但只要有知情的流氓用户在攻击时同时拥有自己的个人电话和iPhone,他们就可以轻松地将您的照片卸载到另一台设备上。
当前的iPhone机型(包括最新的iPhone XS和iPhone XR机型)也容易受到此漏洞的影响。iOS 12.0和iOS 12.1更新中均存在此问题。
要绕过此问题,必须先在iOS 12中启用“回复邮件”功能。
要限制“带有消息的答复”以及Siri和“通知或控制中心”等其他功能,请访问iPhone或iPad上的Face ID,Touch ID或Passcode设置。
我们全力建议您在“锁定”屏幕上也禁用Siri。
允许Siri进入锁定屏幕的无人值守设备很容易受到此类攻击。在锁定屏幕上阻止Siri还可以防止有人向您的Siri问“我是谁?” (或要求她拨打您自己的电话号码)。
为了保护自己,请转到设置→Siri&搜索,然后关闭锁定时允许Siri。
使用Siri激活VoiceOver来在锁定的设备上执行某些任务是使这类攻击首先暴露您的个人信息的原因。
