本篇文章765字,读完约2分钟

两天前,iphone 6s和iphone 6s plus上的siri暴露出严重漏洞,允许用户通过一系列“调情”手段混淆siri。具体技术如下:

打电话给siri,命令它进行twitter搜索。如果搜索结果包含可执行的联系人数据,如电子邮件地址,则使用3d触摸手势调出相关菜单,可以绕过安全验证发送电子邮件和添加或修改联系人信息。

[使用siri和3d touch绕过安全验证演示]

坦率地说,siri给出这些丰富的搜索结果是出于“好意”。此外,siri的热情不是漏洞的主要原因,绕过安全验证的关键步骤是使用3d触摸快速行动。

然而,反应迅速的苹果公司今天宣布,它已经修补了这个漏洞。就在孩子们的鞋子想知道他们为什么没有收到ios升级信息的时候,苹果发布了一份声明,称这个漏洞实际上是在服务器端修复的。

苹果对siri的感情可以用一句歌词来概括:“你怎么能忍受因为犯错而责怪自己呢?我给了你自由,并通过了火。”简而言之,苹果的修复方法是“砍掉”siri。

在被“修复”后,siri没有权利搜索twitter,除非你先解锁你手机的指纹。也就是说,在验证你的身份之前,无论你是搜索公共信息还是私人通讯录,苹果的策略都是一刀切——不

然而,由于苹果没有推出ios升级补丁,几乎可以肯定的是,3d touch的漏洞还没有得到修复。仅仅因为siri被“切断”,3d触摸的弱点就没有用武之地了。严格来说,这是一种修复,但它不同于我们的想象。这至少有两个效果:

因为siri被阉割了,所以使用其他应用程序的搜索功能可能也受到限制,这影响了用户体验。

由于3d触摸的脆弱性还没有完全修复,理论上它可能会被其他方式唤醒。

在推出系统升级补丁之前,我不知道限制siri的权限是苹果的初衷还是权宜之计。只有在ios9.3.2发布之后,我们才会有答案。

标题:苹果奇葩修漏洞 Siri被“剁手”

地址:http://www.j4f2.com/ydbxw/6165.html