CCF-GAIR 2020
您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
网络安全 正文
发私信给史中
发送

5

苹果奇葩修漏洞,Siri被“剁手”

本文作者:史中 2016-04-06 12:30
导语:怎么忍心怪你犯了错,是我给你自由过了火。

前两天 iPhone 6s、iPhone 6s Plus 上的 Siri 被爆出严重的漏洞,让用户可以通过一连串“调戏”手段把Siri搞懵X。具体手法如下:

呼出 Siri,命令它进行Twitter搜索。如果搜索结果包含可执行的联系人数据,比如电子邮箱地址,接下来利用3D Touch手势呼出相关菜单,就可以绕过安全验证发送电子邮件、添加或修改联系人信息。

【使用 Siri 和 3D Touch 绕过安全验证演示】

平胸而论,Siri给出这些丰富的搜索结果也是出于“好心”。而且,Siri 的热情并不是造成漏洞的主要原因,绕过安全验证的关键步骤是使用 3D Touch 呼出的菜单(3D Touch Quick Action)。

不过,反应迅速的苹果在今天就宣布修复了这个漏洞。正当童鞋们好奇自己为什么没有收到 iOS 升级推送的时候,苹果发布声明说这个漏洞其实是在服务器端修复的。

苹果奇葩修漏洞,Siri被“剁手”

苹果对 Siri 的情感可以用一句歌词来概括:“怎么忍心怪你犯了错,是我给你自由过了火。”简单来说,苹果修复的方法是:把 Siri“剁手”。

被“修理”之后的 Siri,已经没有权利搜索 Twitter,除非你先给手机指纹解锁。也就是说,在验证你的身份之前,无论你搜索公开信息还是私人通讯录,苹果的策略都是一刀切——统统不允许。

然而,由于苹果没有推送 iOS 升级补丁,所以基本可以肯定 3D Touch 的漏洞并没有被修复。只不过由于 Siri 被“剁手”,3D Touch 这个漏洞已经没有了“用武之地”。严格来说,这也算是一种修复,只是和我们想象中的不同。这样做至少有两点影响:

由于 Siri 被阉割,很可能使用其他应用进行搜索的功能也被限制,影响用户体验。

由于 3D Touch 的漏洞并未被彻底修复,所以理论上还可能由其他途径唤醒。

不知道限制 Siri 的权限是苹果的本意,还是在推送系统升级补丁之前的权宜之计。只有在 iOS 9.3.2 版本推出之后,我们才会有答案。

苹果奇葩修漏洞,Siri被“剁手”


雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情

编辑

雷锋网编辑,关注科技人文,安全、黑客及芯片。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说