研究人员发现iOS 13新漏洞 未解锁可以查看通讯录
▲iOS 13将于20日推出。(图/翻摄苹果发表会)
iPhone最新版本作业系统iOS 13将于20日推出,不过近日研究人员发现一个存在于iOS 13的漏洞,只要配合讯息回复及辅助功能中的「旁白」(VoiceOver)功能,即可在荧幕未解锁的情况下存取iPhone的联络人资讯。
安全研究人员罗德里格兹(Jose Rodriguez)13日在YouTube发布影片展示他在iOS 13中发现的漏洞。影片中,iPhone接到电话或FaceTime来电时,用户以讯息回复,在「To:」选择收件人画面时叫出语音助理Siri,并启动「旁白」功能,接着在切回iMessage画面后,再度叫出Siri并关闭旁白功能。上述动作完成后,使用者仅需点选iMessage「To:」一旁的「+」符号,即可查看手机内所有联络人资讯,包括电话号码、电子邮件地址等,且无须解锁手机。
「旁白」功能为iPhone内建的视觉辅助功能,能描述iPhone上所呈现的内容。据罗德里格兹的说法,他已于7月17日向苹果发展示此漏洞的影片,但该漏洞仍出现在iOS 13的Gold Master(GM)版本中。
过去的iOS版本中也曾有不少安全人员发现各种在未解锁手机的情况下查看联络人的漏洞,不过这类型漏洞通常被认为是一种低风险的安全漏洞,不像远程代码执行等关键漏洞级别一样,能为研究人来带来高达7位数美元的奖金。
德里格兹告诉媒体,他在iOS 13的beta版中发现这个漏洞并通报苹果,但苹果以beta版不适用抓漏奖金为由,仅给他一张价值1美元的Apple Store礼品券作为奖励。