4762016-04-06 12:49:02

Siri再曝漏洞 便捷与安全难道真不可兼得吗?

  • 漏洞被发现与修复只用了不到一天

      庆幸的是,这个漏洞从曝光到修复只间隔了不到一天的时间。今天上午苹果通过《华盛顿邮报》表示,这个漏洞已经被苹果修复,无需用户自行升级软件。由此推断,苹果应该是在服务端对 Siri 的搜索权限进行了限制。今早再经过测试发现,此漏洞已经无效,说明修复已经产生作用。现在如果再试图进行推特搜索,Siri 变聪明了,她需要你先输入锁屏密码或者用指纹解锁。

      昨天此漏洞在网络和微博上传播开来,很多用户也照着视频的步骤去尝试类似的操作,想看看到底是不是真的。结果是,大多数用户表示仍需要解锁密码,只有少数用户表示的确可以绕开密码打开通讯录和相册。因为首先发现漏洞的用户是用西班牙语发出 Siri 指令的,我们不知道具体应该发出什么指令才能利用漏洞,所以不排除大多数人其实是指令没给对的原因。直接向 Siri 发出如“打开通讯录”或“打开照片”的指令显然是徒劳的,面对这些指令, Siri 还是能保持清醒的,一贯要求输入锁屏密码或指纹。

      视频中的用户显然是先让 Siri 帮他搜索到一串推特账号,在 Siri 提供的结果中,点击其中一个链接,用 3D Touch 手势调取出快捷菜单,分别是:发送邮件、添加到现有联系人、创建新的联系人,这个时候就可以利用到漏洞了。但是有一个关键点是,在执行搜索前,Siri 会询问“我可以使用你的推特账号去提供更多个性化推特搜索结果吗?”,用户如果选择“可以”,那么 Siri 就会给你提供她搜索到的相关推特账号。这个步骤依然是需要机主输入密码和指纹的。所以,想要利用这个漏洞,还需机主本人此前授权过Siri使用自己的推特账号才行。

      说了那么多,你可能会以为这个漏洞并不重要,首先我们没有推特账号,更别提授权 Siri 使用推特账号了。但是在 iOS 原生系统中,与之深度集成的除了推特,还有新浪微博、腾讯微博这些国内用户常用的社交软件,还有一些第三方的APP也可能受影响。

     
  • Siri “出卖”主人已经不是第一次了

      在去年 9 月我们曾报道过一则消息,也是关于如何利用 Siri 绕开锁屏密码访问联系人、相册的漏洞。那个时候的步骤更简单,首先激活Siri,询问Siri现在的时刻,Siri 回答后,在界面点击进入“时钟”程序,点击右上角的“+”按键,在选取城市的搜索栏中随便输入一个地名,然后长按此处,调取出“全选”-“分享”的按键,点击“分享”界面的“信息”,即可进入“信息”APP,接下来还需几个步骤就可以浏览机子的相册和联系人列表了。因为该漏洞随后也很快被苹果修复,在此不再做详细的描述。如今再进行同样的步骤将不再发现“分享”这个按键。

      再往前追溯到 iOS7.1.1 也出现过绕开锁屏密码访问机主通讯录的情况,苹果在每次发现漏洞之后不久就迅速修复了这些安全隐患,消除用户的忧虑。其修复手段基本上是限制Siri对设备的访问权限,不免让人思考,Siri 的本意是好的,她是想给我们更多便捷的功能,比如我们在双手不方便点击手机屏幕的时候帮我们操作,但是她处处受到限制,甚至有些用户禁用了锁屏下的 Siri,她的作用发挥出来了吗?方便与安全,真的很难平衡吗?

  • 当方便与安全不能协调时你愿保留什么

      Siri 的确给我们带来很大的方便,比如在开车时,我们可以欢快地喊一句“嘿Siri”,她就随时待命了,你可以叫她“打电话给妈妈”,或者发短信给妈妈,甚至还可以告诉她你要发的短信内容。听起来是多么美好的场景。但想象一下,如果你的 iPhone 遗失了,不法分子拿着你的 iPhone 首先做的事是激活 Siri,然后让 Siri 打电话给你的妈妈,接下来不法分子就可以天马行空地欺骗你的妈妈,达到骗取钱财的目的,此时你的损失就可能不仅仅是一部 iPhone 了。当然,我们希望世界是美好的,捡到手机的好心人士可以让 Siri 打电话给你的妈妈,然后告诉她如何取回 iPhone。

      方便与安全,这是个很难回答的命题。当我们将日常的一切交给 iPhone 时,我们就要面对这个矛盾的选择。有人选择方便,干脆取消了解锁密码;有人选择安全,至今不敢在手机进行任何钱财交易。如果是你,你愿意保留什么呢?

      最好的解决方式当然是从技术上实现方便与安全的平衡。有人提出,干脆让 Siri 未来通过声音识别主人吧。这个主意不错,既能方便了主人,又减少了不法分子的可乘之机。值得期待。
锋友跟帖
人参与
人跟帖
现在还没有评论,请发表第一个评论吧!
正在加载评论
  • 威锋客户端

  • 用微博扫我

返回顶部
关闭