过去的每一年 iOS 更新换代,我们都会见到类似的报告:用户可以在不输入锁屏密码的前提下访问手机内置软件。这也就意味着,如果是陌生人拿到了你的手机,里面的照片、联系人等信息都会毫无秘密可言。今年的 iOS 9,也逃不过这个“诅咒”。目前已经有用户发现,升级 iOS 9 之后只要通过一些小手段,就可以绕过密码访问设备上的相册以及联系人,其具体步骤按顺序如下:
-随意输入错误的四位数密码,连续输入四次(记住,如果连续输错五次,设备都会被暂时锁定)
-第五次输入密码时,先随意输入三个错误数字,在输入第四位数密码的同时长按 Home 键召唤 Siri
-由于连续输错五次密码,此时设备被暂时锁定,不过 Siri 已先被激活
-询问 Siri 现在时刻
-在 Siri 的回答界面上点击时钟图标,进入“时钟”程序
-点击“时钟”程序右上角的“+”图标
-在选取城市的搜索栏里随便输入一个地名
-点击搜索栏空白处,召唤出复制/粘贴菜单,然后点击“全选” “分享”
-在“分享”界面中点击信息图标,进入“信息”程序
-在“收件人”一栏里随便输入几个英文字母(注意中文不行),然后点击“换行”
-点击两次上在一步里输入的那几个英文字母,进入“简介”界面
-点击“创建新联系人”然后点击“添加照片”,即可浏览相册
-点击“添加到现有联系人”即可浏览联系人信息。
这些步骤看起来不是很难吧?所以已经安装 iOS 9 的锋友们要注意了,哪怕是设备已经被锁定了,别人依然可以浏览你设备上的“相册”以及“联系人”程序当中的所有内容。当然了,也就只是浏览而已,其它人不能再进行其它的操作,不过这样已经很恐怖了。如果你对文字步骤还是不太理解,可以看看由国外网友制作的视频(对照上面的中文步骤):
如果你已经安装了 iOS 9,同时又担心这个新漏洞会让自己的相册或联系人内容外泄,可以通过关闭 Siri 来保护自己:设置 Touch ID 与密码,然后在“锁定时允许访问”一栏里关闭 Siri即可。苹果目前还没有对此漏洞表态,不过预计他们将很快发布系统更新来进行封堵。
不过这也不是iOS 9第一次发现漏洞了,之前AirDrop漏洞已经搞得沸沸扬扬的。
苹果AirDrop传输曝严重漏洞 iOS9已修复
苹果(Apple)最新的iOS 9系统平台,让iPhone、iPad用户能随时通过WiFi或iTune进行更新,新一代的iOS除了加入多项新功能及优化机能外,还会将此前曝出的AirDrop安全漏洞进行了封堵,来保障用户的无线传输更为安全。
此前,iOS 8内建的AirDrop功能存在一个严重的安全漏洞,能让黑容远端监控及植入恶意程式破坏用户系统及窃取个人资料。据澳洲安全研究人员公布的一段视频短片显示,在一部屏幕已锁并已启动 AirDrop功能的iPhone上,可以将恶意程式毫无痕迹地植入iPhone的电话程序上,并进行远程操控及资料盗取。
AirDrop功能当时与第五代iPhone同时推出,让Apple平台的用户能简易地通过蓝牙进行快速文件传输功能。该功能支持MAC笔记本、iPhone及iPad进行点对点的数据传输,但目前已经有黑客通过此功能来展开系统入侵。
安全研究人员表示,iOS 8存在两个漏洞,第一个漏洞能让黑客绕过“同意/拒絶”接收文件的步骤,令受攻击者直接接收文件。第二个漏洞能让黑客植入的文件覆盖于任何文件上,令受攻击者打开该文件时,就会受到远程监控,危害相当严重。
因此,建议用户尽快进行iOS系统更新,如果未能更新的用户也请尽快关闭AirDrop功能,来避免受到不法黑客的入侵。
当然有漏洞就有市场,有人发现漏洞就有人收购和出售漏洞。
Zerodium发悬赏榜:一个iOS 9零日漏洞100万美元
以收购/销售产品安全漏洞的Zerodium公司近日发起了BUG赏金活动,设置超过300万美元(约合620.35万人民币)的奖池来悬赏那些在iOS 9系统中找到漏洞的黑客。Zerodium的商业模式和Hacking Team相同,是一家向政府和企业销售安全漏洞套装和间谍工具的供应商,在截至10月31日之前的活动期间提交的iOS 9前三个0-Day漏洞能够获得每个漏洞都可获得最高100万美元的奖金。
申报者必须能够完全绕过包括ASLR、沙盒、无法root、代码签名和bootchain等在内iOS 9系统的防护措施,意味着当部分犯傻的用户在访问网页或者打开SMS/MMS信息的时候能够对iOS 9系统进行控制,而且这该漏洞能够适用于 iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone 5, iPhone 5c, iPhone 5s, iPad Air 2, iPad Air, iPad (3rd generation), iPad (4th generation), iPad mini 4和iPad mini 2设备。而且所有的漏洞都必须处于保密的状态,不能公开或者在其他任何地方进行过报道,以便于Zerodium创建顶级黑客工具。
本文来源:cnbeta网站
责任编辑:
王晓易_NE0011
