数码控科技猎奇Iphone动漫星座游戏电竞lolcosplay王者荣耀攻略allcnewsBLOGNEWSBLOGASKBLOGBLOGZSK全部技术问答问答技术问答it问答代码软件新闻开发博客电脑/网络手机/数码笔记本电脑互联网操作系统软件硬件编程开发360产品资源分享电脑知识文档中心IT全部全部分类全部分类技术牛文全部分类教程最新网页制作cms教程平面设计媒体动画操作系统网站运营网络安全服务器教程数据库工具网络安全软件教学vbscript正则表达式javascript批处理更多»编程更新教程更新游戏更新allitnewsJava新闻网络医疗信息化安全创业站长电商科技访谈域名会议专栏创业动态融资创投创业学院 / 产品经理创业公司人物访谈营销开发数据库服务器系统虚拟化云计算嵌入式移动开发作业作业1常见软件all电脑网络手机数码生活游戏体育运动明星影音休闲爱好文化艺术社会民生教育科学医疗健康金融管理情感社交地区其他电脑互联网软件硬件编程开发360相关产品手机平板其他电子产品摄影器材360硬件通讯智能设备购物时尚生活常识美容塑身服装服饰出行旅游交通汽车购房置业家居装修美食烹饪单机电脑游戏网页游戏电视游戏桌游棋牌游戏手机游戏小游戏掌机游戏客户端游戏集体游戏其他游戏体育赛事篮球足球其他运动球类运动赛车健身运动运动用品影视娱乐人物音乐动漫摄影摄像收藏宠物幽默搞笑起名花鸟鱼虫茶艺彩票星座占卜书画美术舞蹈小说图书器乐声乐小品相声戏剧戏曲手工艺品历史话题时事政治就业职场军事国防节日风俗法律法规宗教礼仪礼节自然灾害360维权社会人物升学入学人文社科外语资格考试公务员留学出国家庭教育学习方法语文物理生物工程学农业数学化学健康知识心理健康孕育早教内科外科妇产科儿科皮肤科五官科男科整形中医药品传染科其他疾病医院两性肿瘤科创业投资企业管理财务税务银行股票金融理财基金债券保险贸易商务文书国民经济爱情婚姻家庭烦恼北京上海重庆天津黑龙江吉林辽宁河北内蒙古山西陕西宁夏甘肃青海新疆西藏四川贵州云南河南湖北湖南山东江苏浙江安徽江西福建广东广西海南香港澳门台湾海外地区

[视频]VoiceOver新漏洞曝光:黑客可查看iPhone照片并转发

来源:CNBETA  责任编辑:小易  

近日,“业余 iOS 黑客”Jose Rodriguez 发现了 iOS 设备的又一项模糊、但有效的锁屏旁路漏洞。在周五发布于 YouTube 自频道的视频中,其演示了如果通过 VoiceOver 的这个漏洞,查看 iPhone 设备上的照片、并将之转发到另一台设备 —— 即便当时手机明显处于锁屏状态。

访问:

苹果在线商店(中国)

28070-43045-181012-Bug-l.jpg

Rodriguez 指出,iPhone 先得接到一个来自外部的电话号码,这会触发标准的 iOS 通话。如果攻击者不知道目标 iPhone 的号码,也可以唤出 Siri,让智能助理来逐个拨打个人电话来套取信息。

在概念验证视频中,Rodriguez 点击了 iOS 调用屏幕上的“消息”选项、并选择了“自定义”,以显示用户的消息界面。在文本框中输入几个随机字母后,他再次调用 Siri 来激活 VoiceOver 。

接着返回消息界面,点击相机图标。在用 iPhone 侧键调用 Siri 时,双击屏幕以触发看似系统级的冲突。虽然必须以一定的精度来执行特定的操作步骤,但攻击者可以多次重复尝试该过程,直到得逞。

当满足错误条件时,将显示黑屏界面。然而正如 Rodriguez 演示的那样,VoiceOver 的文本选择工具,能够通过典型的导航手势,来访问“隐藏的”UI 选项。

Passcode Bypass iOS 12 - 12.0.1(via)

在空白屏幕上向左滑动,即可带到“照片库”。当双击选择时,它将返回到消息应用程序。此时虽然文本输入框下方的应用抽屉是空白的,但应用选项卡的折叠按钮仍处于活动状态。

点击所需元素(一个小扳手),并向右滑动,即可让 VoiceOver 前往不该被访问的目标设备照片,系统会大声朗读其详细信息。

在照片库中滑动时,消息 UI 看似模糊不清,但双击特定照片、会将图像插入到文本框中。借助这种方式,攻击者可以查看和发送多张照片至另一台设备。

外媒 Apple Insider 已在运行 iOS 12.0.1 的许多机型上进行了测试(包括最新的 iPhone XS / XS Max),独立验证了 Rodriguez 的这项发现。

27868-42318-180928-Bypass-l.jpg

在 Rodriguez 发现了一对类似的“允许未经授权者访问用户联系人和照片”的 VoiceOver 漏洞两周之后,相关旁路攻击的消息就已经见诸报端。

与之前未被发现的方法不同,新漏洞涉及的技术层级要低得多,并允许潜在的攻击者相当轻松地将照片转储到另一台设备上。

有疑问的用户可前往手机设置菜单下的“Face ID 与 Passcode”或“Touch ID 与 Passcode”,调整“允许在设备锁定时访问”的配置。

[编译自:Apple Insider]


  • 本文相关:
  • 站长必读,如何真正写好一篇原创文章
  • 互联网之路细嗅蔷薇 资深站长分享掘金之道
  • 企业站的站长的工作重心究竟有哪些
  • 浅析:行业门户网站的一些盈利模式
  • 3000IP的企业网站每天订单不到30个的苦恼
  • 网站想内外兼修?先学习提高网站可用性的6大原则
  • 浅谈网页设计中的简约之美
  • 网页改版实战:日本设计师如何彻底优化旅游网站?
  • 网页改版实战!日本设计师如何彻底优化招聘网站?
  • 2015年值得关注的21个网页设计趋势
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved