頻因漏洞上頭條的蘋果產(chǎn)品，再次被曝光出新問題。

　　英國《衛(wèi)報》今晨報道稱，一位用戶就發(fā)現(xiàn)了蘋果iPhone 6S和iPhone 6S Plus新漏洞：在鎖屏的情況下，可以直接獲取手機(jī)中的通訊錄和照片等信息。

　　報道指出，此前蘋果意外推送了iOS9.3.1正式版，主要是為了修復(fù)iOS9.3正式版內(nèi)置的Safari瀏覽器、信息和郵件等程序內(nèi)的鏈接點(diǎn)擊沒有反應(yīng)的問題。然而就在新版本推出后不久，再次出現(xiàn)這一安全問題。

　　安全漏洞 利用3D Touch功能 可獲取通訊錄信息

　　《衛(wèi)報》指出，此次發(fā)現(xiàn)這一系統(tǒng)漏洞的是何塞·羅德里格斯，該用戶在去年的時候還發(fā)現(xiàn)了相似的安全漏洞。

　　在示范案例中，攻擊者可以通過長按Home鍵或者語音指令啟動Siri，然后要求虛擬助手進(jìn)行推特搜索。如果搜索結(jié)果包含可執(zhí)行的聯(lián)系人數(shù)據(jù)，比如電子郵箱地址，攻擊者就可以利用3D Touch手勢呼出相關(guān)菜單，繼而發(fā)送電子郵件、添加或修改聯(lián)系人信息。在3D Touch的“快速操作”菜單中，點(diǎn)擊“添加到現(xiàn)有聯(lián)系人”就可以打開iPhone的聯(lián)系人清單。

　　報道指出，這使得惡意攻擊者能夠完全獲得手機(jī)用戶的所有聯(lián)系方式。在適當(dāng)配置下，攻擊者還可以進(jìn)一步訪問手機(jī)的照片庫。

　　此外，羅德里格斯稱，攻擊者還可以利用這個漏洞通過Siri的搜索結(jié)果來訪問WhatsApp的好友信息。需要特別指出的是，上述操作均有可能在手機(jī)未被解鎖的情況下，攻擊者就可以獲得上述手機(jī)用戶的個人信息。

　　從發(fā)布的視頻來看，該用戶通過Siri和3D Touch訪問通訊錄和照片的過程并不復(fù)雜，很容易被其他用戶學(xué)會。

　　權(quán)限要求 授權(quán)Siri訪問存風(fēng)險 iPhone 6S受影響

　　報道稱，需要指出的是，這一安全漏洞必須在特定情況下才能奏效。手機(jī)用戶必須授權(quán)Siri訪問他們的賬戶、推特照片庫或相關(guān)應(yīng)用以及手動設(shè)置服務(wù)權(quán)限才行。報道指出，當(dāng)用戶第一次要求Siri進(jìn)行推特搜索時，Siri會要求訪問權(quán)限。為了驗(yàn)證所有權(quán)，Siri會要求推特賬戶所有人通過密碼或Touch ID進(jìn)行確認(rèn)。

　　如果用戶擔(dān)心自己的設(shè)備被非法入侵了，可以通過設(shè)置菜單關(guān)閉Siri來禁用Siri與推特整合的功能。只要在隱私設(shè)置菜單中關(guān)閉Siri整合功能，就可以切斷Siri與照片庫之間的聯(lián)系。用戶們還可以通過徹底禁用Siri來達(dá)到相同的目的。

　　報道稱，這一安全缺陷僅影響有3D Touch屏幕的設(shè)備，也就是iPhone 6S和6S Plus 。目前蘋果方面尚未對該安全缺陷進(jìn)行回應(yīng)。