iPhone鎖屏旁路漏洞「辭舊迎新」

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：有人揭露了跳過iPhone屏鎖，竊取手機照片的新方法，而Apple幾天前才發布了類似漏洞補丁。

九月下旬，iPhone狂熱粉何塞·羅德里格斯(Jose Rodriguez），其YouTube頻道「videosdebarraquito」廣為人知，發現還有一種方法可跳過iPhone鎖屏。該方法適用於新發布的iPhone XS，該型號iPhone運行著Apple最新版移動操作系統iOS 12。

羅德里格斯展示了黑客如果通過物理訪問攻擊目標設備，利用Siri及VoiceOver屬性竊取用戶手機照片。

10月8日，Apple發布了iOS12.0.1，修補了該漏洞（CVE-2018-4380)。

不過，幾天後的10月12日，羅德里格斯又展示了另一種適用於iOS 12.0.1的鎖屏旁路。

該新方法同樣需要用到Siri和VoiceOver，通過其無障礙屬性的朗讀功能，幫助視覺障礙者了解屏幕內容及按鍵。

首先，黑客會給目標設備打電話，如果不知道手機號碼的話，可叫Siri讀出來。打完電話，黑客可通過通話頁面點擊Messages圖標，之後再借Siri激活VoiceOver。

該方法與之前的鎖屏旁路相似，即利用VoiceOver調出隱藏鍵與隱藏功能。這些按鍵在屏幕上找不到，但可通過VoiceOver找到並激活。黑客可利用該方法打開「照片庫」，並查看最近的照片。

與之前的鎖屏旁路相比，該新方法更簡單，且黑客不僅可通過該方法查看照片，同時還能將照片發送到其他設備。除此之外，該新方法帶來的風險更大，因其可將目標手機全解析度照片發送到其他設備，而之前的入侵方法只能查看尺寸更小的預覽圖圖像。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！