Siri再曝漏洞 便捷与安全这么难平衡?
日前,网络上出现一个视频,演示了 iPhone Siri 存在的一个漏洞。这个漏洞竟然允许操作者无需 iPhone 的解锁密码也能查看这台 iPhone 的联系人,甚至设备内的照片。这个视频一经网络传播,迅速引起热议。Siri 给我们方便的同时,却会趁我们不注意“出卖”我们,便捷与安全很难平衡吗?
漏洞被发现与修复只用了不到一天
庆幸的是,这个漏洞从曝光到修复只间隔了不到一天的时间。今天上午苹果通过《华盛顿邮报》表示,这个漏洞已经被苹果修复,无需用户自行升级软件。由此推断,苹果应该是在服务端对 Siri 的搜索权限进行了限制。今早再经过测试发现,此漏洞已经无效,说明修复已经产生作用。现在如果再试图进行推特搜索,Siri 变聪明了,她需要你先输入锁屏密码或者用指纹解锁。
昨天此漏洞在网络和微博上传播开来,很多用户也照着视频的步骤去尝试类似的操作,想看看到底是不是真的。结果是,大多数用户表示仍需要解锁密码,只有少数用户表示的确可以绕开密码打开通讯录和相册。因为首先发现漏洞的用户是用西班牙语发出 Siri 指令的,我们不知道具体应该发出什么指令才能利用漏洞,所以不排除大多数人其实是指令没给对的原因。直接向 Siri 发出如“打开通讯录”或“打开照片”的指令显然是徒劳的,面对这些指令, Siri 还是能保持清醒的,一贯要求输入锁屏密码或指纹。
视频中的用户显然是先让 Siri 帮他搜索到一串推特账号,在 Siri 提供的结果中,点击其中一个链接,用 3D Touch 手势调取出快捷菜单,分别是:发送邮件、添加到现有联系人、创建新的联系人,这个时候就可以利用到漏洞了。但是有一个关键点是,在执行搜索前,Siri 会询问“我可以使用你的推特账号去提供更多个性化推特搜索结果吗?”,用户如果选择“可以”,那么 Siri 就会给你提供她搜索到的相关推特账号。这个步骤依然是需要机主输入密码和指纹的。所以,想要利用这个漏洞,还需机主本人此前授权过Siri使用自己的推特账号才行。
说了那么多,你可能会以为这个漏洞并不重要,首先我们没有推特账号,更别提授权 Siri 使用推特账号了。但是在 iOS 原生系统中,与之深度集成的除了推特,还有新浪微博、腾讯微博这些国内用户常用的社交软件,还有一些第三方的APP也可能受影响。
Siri “出卖”主人已经不是第一次了
在去年 9 月我们曾报道过一则消息,也是关于如何利用 Siri 绕开锁屏密码访问联系人、相册的漏洞。那个时候的步骤更简单,首先激活Siri,询问Siri现在的时刻,Siri 回答后,在界面点击进入“时钟”程序,点击右上角的“+”按键,在选取城市的搜索栏中随便输入一个地名,然后长按此处,调取出“全选”-“分享”的按键,点击“分享”界面的“信息”,即可进入“信息”APP,接下来还需几个步骤就可以浏览机子的相册和联系人列表了。因为该漏洞随后也很快被苹果修复,在此不再做详细的描述。如今再进行同样的步骤将不再发现“分享”这个按键。
再往前追溯到 iOS7.1.1 也出现过绕开锁屏密码访问机主通讯录的情况,苹果在每次发现漏洞之后不久就迅速修复了这些安全隐患,消除用户的忧虑。其修复手段基本上是限制Siri对设备的访问权限,不免让人思考,Siri 的本意是好的,她是想给我们更多便捷的功能,比如我们在双手不方便点击手机屏幕的时候帮我们操作,但是她处处受到限制,甚至有些用户禁用了锁屏下的 Siri,她的作用发挥出来了吗?方便与安全,真的很难平衡吗?
当方便与安全不能协调时你愿保留什么
Siri 的确给我们带来很大的方便,比如在开车时,我们可以欢快地喊一句“嘿Siri”,她就随时待命了,你可以叫她“打电话给妈妈”,或者发短信给妈妈,甚至还可以告诉她你要发的短信内容。听起来是多么美好的场景。但想象一下,如果你的 iPhone 遗失了,不法分子拿着你的 iPhone 首先做的事是激活 Siri,然后让 Siri 打电话给你的妈妈,接下来不法分子就可以天马行空地欺骗你的妈妈,达到骗取钱财的目的,此时你的损失就可能不仅仅是一部 iPhone 了。当然,我们希望世界是美好的,捡到手机的好心人士可以让 Siri 打电话给你的妈妈,然后告诉她如何取回 iPhone。
方便与安全,这是个很难回答的命题。当我们将日常的一切交给 iPhone 时,我们就要面对这个矛盾的选择。有人选择方便,干脆取消了解锁密码;有人选择安全,至今不敢在手机进行任何钱财交易。如果是你,你愿意保留什么呢?
最好的解决方式当然是从技术上实现方便与安全的平衡。有人提出,干脆让 Siri 未来通过声音识别主人吧。这个主意不错,既能方便了主人,又减少了不法分子的可乘之机。值得期待。
-
Siri 被曝新漏洞:无需解锁即可查看设备照片
强大的苹果语音助手 Siri 已经成为 iOS 设备的一大亮点,但有时候也会存在某些不足或漏洞,近日由用户反馈,通过 Siri 和 3D Touch 竟然无需解锁设备即可查看联系人和照片。
-
苹果称iOS企业“漏洞”是“钓鱼” 非真漏洞
据外媒 Ars Technica 报道,Check Point Software 的安全研究员在 iOS 9 中的移动设备管理(MDM)界面中发现了漏洞,该漏洞可以让攻击者执行“中间人攻击”(man-in-the-middle)。
-
这就是最让苹果头疼的iOS漏洞
苹果近期修复了iOS系统的一个关键漏洞。利用这一漏洞,黑客可以获得网站的无加密身份认证Cookie的读写权限,从而冒充终端用户的身份。本周二,苹果在发布的iOS 9.2.1版本中修复了这一漏洞。这距离漏洞的发现和报告已有3年时间。这一漏洞也被称作“强制门户”漏洞,最初由互联网安全公司Skycure的艾迪·沙拉巴尼(Adi Sharabani)和亚尔·艾米特(Yair Amit)发现,并于2013年6月报告给苹果。这一漏洞与iOS系统在强制门户页面处理设备保存...
-
iPhone安全吗?看看那些被爆的漏洞
苹果iOS8系统被曝出现新漏洞,通过iMessage或短信发出一系列字符就可以让iPhone立刻崩溃并重新启动,且重启后信息应用也无法打开。目前苹果已表示会尽快推出应急修复补丁来解决这个漏洞。尽管iPhone有众多为之疯狂的粉丝,但此前iPhone也被曝出过大量漏洞令人担忧和失望,下面我们来回顾一下,iPhone曾被曝出哪些重大漏洞。2008年9月,一名黑客称按下iPhone的home按钮截屏时,图片不会被随即删除,黑客可设法获得这些图片。2009年7...
-
Apple Watch曝新漏洞:问Siri天气就重启
据报道,Apple Watch 今天出现了一个奇怪的漏洞,每当 Siri 被问及天气问题时,它就会重启。问 Siri“温度是多少?”或者“天气怎么样?”或者“下雨了吗?”之类的问题都会导致 Apple Watch 崩溃。