小心被窃听!FaceTime 再爆漏洞
苹果FaceTime被爆出一个严重漏洞,它可以让主叫用户在被叫用户不接起电话的情况下窃听被叫用户。如果被叫用户按下iPhone侧边的电源键,这个漏洞也能让主叫用户在被叫用户接起电话之前,看见被叫用户的摄像头视频画面。
而被叫用户对这一切一无所知。
漏洞利用
该漏洞存在于运行iOS 12.1或更高版本的设备中,漏洞触发过程如下:
用iPhone联系人启动FaceTime视频通话。
从屏幕底部向上滑动,然后点击“Add Person”。
在“Add Person”中添加自己的电话号码。
之后将开启组聊天,此时可以获得未接听人的音频。
漏洞影响
该漏洞影响 12.1 及更高版本的iOS设备
受影响的机型:
iPhone X
iPhone XR
iPhone XS
iPhone XS max
由于漏洞是基于Group FaceTime, Macbook 、Macbook pro 以及 Macbook Air 均受影响。
◆ ◆ ◆
苹果一直以来都通过吹嘘自己的隐私记录来区分自己与竞争对手,如谷歌和Facebook。 值得注意的是,一月初,在消费者电子产品展期间,苹果曾在拉斯维加斯的一个广告牌上写道“你的iPhone上产生的任何数据都会只留在你的iPhone上”。
建议
这一漏洞由9to5Mac最初报告,卫报 已经确认了该漏洞的存在,苹果没有立即对卫报的置评请求作出回应。并告诉路透社将会在“这周的晚些时候”发布软件更新。
目前,苹果已经在服务器端暂时禁用了FaceTime的群组通话功能,此漏洞暂时无法利用。
在Apple发布其软件更新之前,建议iPhone用户在手机设置中禁用FaceTime来保护隐私。
来源:
1、crownless 《苹果匆忙修复可导致窃听的FaceTime漏洞》
2、360CERT
- End -
(点击图片即可进入)
往期热门资讯:
Chrome 将增加对 HTTP Exchanges 的支持,引发争议
跟着crownless学Web之(2)calc2
进阶安全圈,不得不读的一本书 ——《加密与解密》第4版
看雪小组正在@你,进入安全圈从这里开始
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com