某个 iPhone X 的漏洞让骇客可以窃取“最近删除”的照片
研究人员在本周的一场骇客活动中发现了这个问题。
Lanmo Chang
1 小时前
无论是为了什么理由,相信大家都曾在手机上删除过照片吧。但如果
我跟你说,你那张凌晨三点时喝醉的自拍,其实并没有“真的消失”
,你会做何感想呢?本周在国外的一场骇客竞赛 Mobile Pwn2Own 中
,两位研究人员 Richard Zhu 和 Amat Cama 在运行 iOS 12.1 的
iPhone X 上,发现了一个 Safari 的漏洞,借此骇客就能窃取系统
上应该要被删除(但尚未真正删除)的照片和文件。而他们也因此成
功地获得了 5 万美元的活动奖金。
在示范如何窃取照片和档案的过程中,他们先透过恶意 WiFi 存取点
连接到运行 iOS 12.1 的设备,并利用 Safari 中 JIT 编译器的漏
洞,就能任意地从照片 app 的“最近删除”相簿中,存取这些未真
正被删除的照片(从内建 app 删除照片后,档案会自动移至该资料
夹,待 30 天后才会自动删除)。然而这个做法,理论上也能用于窃
取其它经 JIT 编译器处理的档案,只是他们第一个成功窃取的档案
是照片而已。
其实这已经不是第一次骇客在该活动中,成功透过 Safari 的漏洞获
取 iPhone 的资料了。然而按照比赛的规定,这项漏洞已于第一时间
通知官方。只是根据富比士的报导,该漏洞目前应该还尚未得到修补
。如果你手边恰巧使用的是 Android 设备,也先别沾沾自喜啊,因
为活动中同时也发现了透过 Samsung Galaxy S9 基带漏洞和小米 6
NFC 漏洞窃取资料的手段。只能说,活在资讯安全难有保障的当下,
重要(见不得人)的资料记得妥善处理囉。
https://engt.co/2PYhzCG
心得:
还好只是最近删除的照片有这问题,如果没有把照片删除就没这问题
请注意就是Android手机也可能有相似的问题自己要注意一下
避免不想被泄漏的东西泄漏出去就不好