苹果FaceTime被爆出一个严重漏洞，它可以让主叫用户在被叫用户不接起电话的情况下窃听被叫用户。如果被叫用户按下iPhone侧边的电源键，这个漏洞也能让主叫用户在被叫用户接起电话之前，看见被叫用户的摄像头视频画面。

而被叫用户对这一切一无所知。

该漏洞存在于运行iOS 12.1或更高版本的设备中，漏洞触发过程如下：

• 用iPhone联系人启动FaceTime视频通话。

• 从屏幕底部向上滑动，然后点击“Add Person”。

• 在“Add Person”中添加自己的电话号码。

• 之后将开启组聊天，此时可以获得未接听人的音频。

该漏洞影响 12.1 及更高版本的iOS设备

受影响的机型：

• iPhone X

• iPhone XR

• iPhone XS

• iPhone XS max

由于漏洞是基于Group FaceTime， Macbook 、Macbook pro 以及 Macbook Air 均受影响。

苹果一直以来都通过吹嘘自己的隐私记录来区分自己与竞争对手，如谷歌和Facebook。 值得注意的是，一月初，在消费者电子产品展期间，苹果曾在拉斯维加斯的一个广告牌上写道“你的iPhone上产生的任何数据都会只留在你的iPhone上”。

这一漏洞由9to5Mac最初报告，卫报 已经确认了该漏洞的存在，苹果没有立即对卫报的置评请求作出回应。并告诉路透社将会在“这周的晚些时候”发布软件更新。

目前，苹果已经在服务器端暂时禁用了FaceTime的群组通话功能，此漏洞暂时无法利用。

在Apple发布其软件更新之前，建议iPhone用户在手机设置中禁用FaceTime来保护隐私。

来源：

1、crownless 《苹果匆忙修复可导致窃听的FaceTime漏洞》

2、360CERT

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com