▲iOS 13將於20日推出。(圖/翻攝蘋果發表會)
記者王曉敏/綜合報導
iPhone最新版本作業系統iOS 13將於20日推出,不過近日研究人員發現一個存在於iOS 13的漏洞,只要配合訊息回覆及輔助功能中的「旁白」(VoiceOver)功能,即可在螢幕未解鎖的情況下存取iPhone的聯絡人資訊。
安全研究人員羅德里格茲(Jose Rodriguez)13日在YouTube發布影片展示他在iOS 13中發現的漏洞。影片中,iPhone接到電話或FaceTime來電時,用戶以訊息回覆,在「To:」選擇收件人畫面時叫出語音助理Siri,並啟動「旁白」功能,接著在切回iMessage畫面後,再度叫出Siri並關閉旁白功能。上述動作完成後,使用者僅需點選iMessage「To:」一旁的「+」符號,即可查看手機內所有聯絡人資訊,包括電話號碼、電子郵件地址等,且無須解鎖手機。
「旁白」功能為iPhone內建的視覺輔助功能,能描述iPhone上所呈現的內容。據羅德里格茲的說法,他已於7月17日向蘋果發展示此漏洞的影片,但該漏洞仍出現在iOS 13的Gold Master(GM)版本中。
過去的iOS版本中也曾有不少安全人員發現各種在未解鎖手機的情況下查看聯絡人的漏洞,不過這類型漏洞通常被認為是一種低風險的安全漏洞,不像遠程代碼執行等關鍵漏洞級別一樣,能為研究人來帶來高達7位數美元的獎金。
德里格茲告訴媒體,他在iOS 13的beta版中發現這個漏洞並通報蘋果,但蘋果以beta版不適用抓漏獎金為由,僅給他一張價值1美元的Apple Store禮品券作為獎勵。
讀者迴響