苹果发布了iOS 13,其中包含许多新功能。但是它还发布了其他新版本的操作系统:7天前披露的一个漏洞,该漏洞无需首先提供密码或生物识别即可暴露联系人详细信息。
独立研究员何塞·罗德里格斯(Jose Rodriguez)恰好在一周前发布了有关该漏洞的视频演示。可以通过接收FaceTime呼叫,然后使用Siri的配音功能来访问联系人列表来加以利用。从那里,未经授权的人可以获取姓名,电话号码,电子邮件地址以及电话联系人列表中存储的任何其他信息。
Rodriquez的视频是过去一周内100余篇新闻报道的主题。由于iOS 13首次发布时处于beta版,因此我认为Apple开发人员将在昨天的发布中及时解决绕过问题的情况。las,他们没有,原因还不清楚。
一位苹果代表告诉Ars,绕过将在iOS 13.1中修复,该版本计划于9月24日发布。
与所有锁屏绕过一样,利用漏洞需要攻击者能够物理且不间断地访问易受攻击的电话。SMS或类似方法无法远程利用它。但是,锁屏的唯一目的是防止不受信任的人短暂相遇。尽管iPhone遭受了更严重的漏洞(包括最近越狱的漏洞回归和大量积极利用的零日漏洞),但令人难以理解的是,为什么在iOS上线之前就没有修复此漏洞。
如果苹果很快发布更新,也就不足为奇了。在此之前,用户可能可以按照此处的说明缓解威胁。