苹果手机再被曝漏洞 iPhone 6S锁屏仍可获取通讯录

频因漏洞上头条的苹果产品，再次被曝光出新问题。

　　英国《卫报》今晨报道称，一位用户就发现了苹果iPhone 6S和iPhone 6S Plus新漏洞：在锁屏的情况下，可以直接获取手机中的通讯录和照片等信息。

ifm style="MARGIN-LEFT: 11px" id="stockMinFlash" height="140" src="http://flash.tool.hexun.com/flash_ma/20120809-ZhengWenYe/miniUsaStockB.html?width=280&height=140&c=AAPL&m=NASDAQ&e=usa&x=false" frameborder="0" width="280" scrolling="no">

苹果

109.81

-1.18%

　　报道指出，此前苹果意外推送了iOS9.3.1正式版，主要是为了修复iOS9.3正式版内置的Safari浏览器、信息和邮件等程序内的链接点击没有反应的问题。然而就在新版本推出后不久，再次出现这一安全问题。

　　安全漏洞 利用3D Touch功能 可获取通讯录信息

　　《卫报》指出，此次发现这一系统漏洞的是何塞·罗德里格斯，该用户在去年的时候还发现了相似的安全漏洞。

　　在示范案例中，攻击者可以通过长按Home键或者语音指令启动Siri，然后要求虚拟助手进行推特搜索。如果搜索结果包含可执行的联系人数据，比如电子邮箱地址，攻击者就可以利用3D Touch手势呼出相关菜单，继而发送电子邮件、添加或修改联系人信息。在3D Touch的“快速操作”菜单中，点击“添加到现有联系人”就可以打开iPhone的联系人清单。

　　报道指出，这使得恶意攻击者能够完全获得手机用户的所有联系方式。在适当配置下，攻击者还可以进一步访问手机的照片库。

　　此外，罗德里格斯称，攻击者还可以利用这个漏洞通过Siri的搜索结果来访问WhatsApp的好友信息。需要特别指出的是，上述操作均有可能在手机未被解锁的情况下，攻击者就可以获得上述手机用户的个人信息。

　　从发布的视频来看，该用户通过Siri和3D Touch访问通讯录和照片的过程并不复杂，很容易被其他用户学会。

　　权限要求 授权Siri访问存风险 iPhone 6S受影响

　　报道称，需要指出的是，这一安全漏洞必须在特定情况下才能奏效。手机用户必须授权Siri访问他们的账户、推特照片库或相关应用以及手动设置服务权限才行。报道指出，当用户第一次要求Siri进行推特搜索时，Siri会要求访问权限。为了验证所有权，Siri会要求推特账户所有人通过密码或Touch ID进行确认。

　　如果用户担心自己的设备被非法入侵了，可以通过设置菜单关闭Siri来禁用Siri与推特整合的功能。只要在隐私设置菜单中关闭Siri整合功能，就可以切断Siri与照片库之间的联系。用户们还可以通过彻底禁用Siri来达到相同的目的。

　　报道称，这一安全缺陷仅影响有3D Touch屏幕的设备，也就是iPhone 6S和6S Plus 。目前苹果方面尚未对该安全缺陷进行回应。

　　专家提醒

　　苹果手机用户 别急着更新系统

　　据国内最大的互联网安全公司360公司IOS安全研究团队负责人高雪峰介绍，苹果公司一旦有新的系统发布，会立即通知用户更新，苹果这样做主要是为了修复以往的旧版本漏洞，同时防止用户越狱。但是新系统又往往会带来功能和安全的新漏洞。

　　现在根据最新的通报情况来看，漏洞主要会造成黑客在手机锁屏的情况下，通讯录和照片等个人信息泄漏，应该属于中高危漏洞，所有漏洞都需要满足一定的条件才能完成，目前来看，只要手机没有被盗，还在机主手中，手机内个人信息还是安全的。

　　高雪峰提醒，用户在苹果发布新的系统以后，最好不要立即更新，最好等待15天——30天时间，等待苹果公司发布更加稳定版本以后再更新，避免自己信息泄漏。

　　在整个过程中，被访问的手机需要支持3D Touch功能，同时授予Siri锁屏访问的权利，另外手机中还需要有一个已登录的Twitter账号。

　　苹果预计随后会发送更新修复该问题。不过在修复之前，如果你想避免这个危险，可将iPhone 6s或是6s Plus设置阻止Siri访问Twitter，也可禁止3D touch功能，或者阻止Siri锁屏访问来解决。

如果搜索结果包含可执行的联系人数据比如电子邮箱地址，你就可以利用3D Touch手势呼出相关菜单，继而发送电子邮件、添加或修改联系人信息。

在3D Touch的“快速操作”菜单中，点击“添加到现有联系人”就可以打开iPhone的联系人清单，同时用户还可以进一步访问手机的照片库。

现在，苹果官方给出回应称，这个漏洞他们已经修复，用户无需更新，与此同时，他们还加入了一项新的语音指令，即用户可以通过Siri来开启夜间模式（Night Shift）和低功耗模式（Low Power）。

当然，如果你还担心这个问题，可以通过设置菜单关闭Siri来禁用Siri与Twitter整合的功能。