苹果奇葩修漏洞,Siri被“剁手”

简介:
     前两天 iPhone 6s、iPhone 6s Plus 上的 Siri 被爆出严重的漏洞,让用户可以通过一连串“调戏”手段把Siri搞懵X。具体手法如下:

呼出 Siri,命令它进行Twitter搜索。如果搜索结果包含可执行的联系人数据,比如电子邮箱地址,接下来利用3D Touch手势呼出相关菜单,就可以绕过安全验证发送电子邮件、添加或修改联系人信息。

【使用 Siri 和 3D Touch 绕过安全验证演示】

平胸而论,Siri给出这些丰富的搜索结果也是出于“好心”。而且,Siri 的热情并不是造成漏洞的主要原因,绕过安全验证的关键步骤是使用 3D Touch 呼出的菜单(3D Touch Quick Action)。

不过,反应迅速的苹果在今天就宣布修复了这个漏洞。正当童鞋们好奇自己为什么没有收到 iOS 升级推送的时候,苹果发布声明说这个漏洞其实是在服务器端修复的。

苹果奇葩修漏洞,Siri被“剁手”

苹果对 Siri 的情感可以用一句歌词来概括:“怎么忍心怪你犯了错,是我给你自由过了火。”简单来说,苹果修复的方法是:把 Siri“剁手”。

被“修理”之后的 Siri,已经没有权利搜索 Twitter,除非你先给手机指纹解锁。也就是说,在验证你的身份之前,无论你搜索公开信息还是私人通讯录,苹果的策略都是一刀切——统统不允许。

然而,由于苹果没有推送 iOS 升级补丁,所以基本可以肯定 3D Touch 的漏洞并没有被修复。只不过由于 Siri 被“剁手”,3D Touch 这个漏洞已经没有了“用武之地”。严格来说,这也算是一种修复,只是和我们想象中的不同。这样做至少有两点影响:

由于 Siri 被阉割,很可能使用其他应用进行搜索的功能也被限制,影响用户体验。

由于 3D Touch 的漏洞并未被彻底修复,所以理论上还可能由其他途径唤醒。

不知道限制 Siri 的权限是苹果的本意,还是在推送系统升级补丁之前的权宜之计。只有在 iOS 9.3.2 版本推出之后,我们才会有答案。

苹果奇葩修漏洞,Siri被“剁手”

  
 
  本文作者: 史中

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
存储 传感器 安全
「Arm Arch」 初识 Arm(下)
「Arm Arch」 初识 Arm(下)
1470 0
|
存储 Kubernetes 安全
|
存储 资源调度 Kubernetes
Kubernetes多租户集群实践
如何解决多租户集群的安全隔离问题是企业上云的一个关键问题,本文主要介绍kubernetes多租户集群的基本概念和常见应用形态,以及在企业内部共享集群的业务场景下,基于kubernetes原生和ACK集群现有安全管理能力快速实现多租户集群的相关方案。
4962 0
|
2月前
|
存储 人工智能 NoSQL
看 AgentRun 如何玩转记忆存储,最佳实践来了!
AgentRun 基于 Tablestore 提供三类记忆能力:会话历史(单轮上下文)、长期记忆(跨会话向量化存储用户偏好)和会话状态(元数据持久化),支持控制台配置与 SDK/LangChain 等多框架集成,实现真正连续的智能对话体验。
|
6月前
|
弹性计算 运维 安全
阿里云CNAPP云安全中心全解析:优势、费用、合规及使用一文说透
阿里云CNAPP(智能云原生应用保护平台)整合CWPP、CSPM、CIEM与CTDR四大能力,提供覆盖“事前-事中-事后”的全链路安全防护。支持多云统一管理,内置380+检测模型,具备等保、ISO、PCI DSS等20+合规认证,助力企业实现一体化、智能化安全运营。免费版开放基础功能,高级版按需付费,新用户享15天全功能试用,快速构建云上安全防线。
|
存储 NoSQL 中间件
【Django+Vue3 线上教育平台项目实战】登录功能模块之短信登录与钉钉三方登录
在当今的数字化时代,用户认证是任何在线服务安全性的基石。本文将简明扼要地介绍登录注册流程中的核心概念:HTTP无状态性、Session、Token与JWT,并详细阐述两种实用登录方式—— 手机号登录验证(借助容联云/云通讯服务) 与钉钉第三方登录。我们将探讨这些概念的基本原理,并深入解析两种登录方式的实现流程,旨在帮助开发者提升用户认证的安全性与便捷性。
【Django+Vue3 线上教育平台项目实战】登录功能模块之短信登录与钉钉三方登录
|
存储 供应链 物联网
区块链技术的未来发展趋势:革新、挑战与机遇
区块链技术的未来发展趋势:革新、挑战与机遇
791 8
|
运维 监控 安全
代理IP故障排查,怎样快速锁定问题?
在信息化时代,互联网不可或缺,业务需求使HTTP动态代理IP的应用日益广泛。为快速排查代理IP故障,可采取以下步骤:1. 检查代理IP有效性(Ping测试、HTTP请求测试);2. 监控连接速度(延迟、带宽测试);3. 分析错误信息(HTTP状态码、错误日志);4. 检查代理设置(配置文件、协议支持);5. 使用调试工具(Wireshark、浏览器开发者工具);6. 咨询服务提供商;7. 检查网络环境(防火墙、ISP限制);8. 逐步故障排除并记录变化。通过这些方法,能有效找出并解决问题。
565 5
|
数据可视化
Threejs制作服务器机房冷却结构
这篇文章详细介绍了如何使用Three.js来创建一个服务器机房的冷却结构模型,包括设计和实现机房内冷却系统的可视化表现。
310 1
|
存储 算法 Linux
Gzip的压缩级别
【4月更文挑战第28天】Gzip的压缩级别
1525 2