当前位置:安全技术 \ 最新漏洞
距离苹果发布iOS 12.1仅数小时,一个新的密码绕过漏洞又被曝出
新闻来源:黑客视界
发布人:计算机安全协会
点击率:66
发布日期:2018.11.01

 

微信图片_20181101095558.jpg

据外媒The Hacker News报道,距离苹果公司发布最新操作系统版本iOS 12.1仅仅几个小时的时间,西班牙安全研究员Jose Rodriguez就再次设法找到了一种新的iPhone密码绕过攻击方法,可以让任何人在锁定的iPhone上查看所有联系人的私人信息。

为了演示这个漏洞,Rodriguez与The Hacker News分享了一段视频,详细描述了这种新的iPhone密码绕过攻击是如何工作的。值得注意的是,从演示视频所展示的漏洞利用过程来看,这个新的漏洞要比Rodriguez之前发现的两个密码绕过漏洞更加容易利用。

不同之处在于,这个新的漏洞存在于一个名为“Group FaceTime”的新功能中。这是一个随着iOS 12.1同时推出的功能,能够让用户轻松地与更多的人进行视频聊天(最多可容纳32人,完全可以作为一款视频会议软件来使用)。

新的iPhone密码绕过攻击是如何工作的?

与Rodriguez之前发布的两种密码绕过攻击方法不同的是,这种新的方法即使是在目标iPhone没有开启Siri和Voiceover语音辅助程序功能的情况下也能正常工作,而且执行起来也更加简单。

以下是执行新的密码绕过攻击方法的几个步骤:

  • 通过任何其他iPhone拨打目标iPhone(如果你不知道目标的电话号码,你可以向Siri询问“who I am”,或者让Siri逐位拨打你的电话号码),或者使用Siri来打电话给你自己的iPhone;

  • 呼叫连接后,立即从同一屏幕启动“Facetime”视频呼叫;

  • 然后,转到右下方菜单并选择“Add Person”;

  • 现在,按加号图标(+)即可访问目标iPhone的完整联系人列表。通过对每个联系人进行3D Touch,你可以查看更多的信息。

需要注意的是,由于这种新的密码绕过攻击方法利用的是苹果的Facetime,因此只有当该过程中涉及的设备是iPhone时,该攻击方法才会起作用。

根据Rodriguez的说法,该攻击方法应该适用于当前所有的iPhone型号,包括iPhone X和iPhone XS,以及其他运行iOS 12的苹果设备。

由于没有临时解决该漏洞的方法,因此用户只能期望苹果公司尽快发布软件更新,以便能够解决这个潜在的隐私安全问题。

短短数月已有多个类似密码绕过漏洞曝出

在今年9月末,Rodriguez在iOS12中发现了一个iPhone密码绕过漏洞,同样影响到几乎所有的iPhone型号,包括iPhone XS 和 iPhone XS Max。不过,漏洞利用需要复杂的37个步骤,并且要利用到Siri和Voiceover语音辅助程序功,允许攻击者通过物理方式访问目标iPhone的联系人和照片。

大约在两周前,Rodriguez发现了另一种iPhone密码绕过攻击方法,可以在12.0.1上工作。漏洞利用过程同样涉及到使用Siri和Voiceover语音辅助程序功能,允许攻击者能够访问处于锁屏状态iPhone上的联系人和照片。

 

上一篇:思科发现易家相机多个漏洞
下一篇:研究 | 移动边缘计算面临的安全风险分析
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com