苹果Facetime曝出任意用户都可利用的监听漏洞

近期，苹果的FaceTime曝出一个严重的安全漏洞，可以让你在对方不知情的情况下监听他人的对话。具体来说，就是在用FaceTime给任何人打电话时，在对方接受或拒绝呼叫之前，就能立即听到他们那边的声音。苹果表示，这个漏洞将在“本周晚些时候”的软件更新中被解决。（更新：苹果貌似已将有漏洞的功能下线）。

这是一个相当严重的隐私问题，因为任何人都可以监听其他iOS用户，尽管这一过程中Facetime不可避免地会发出铃声。

9to5Mac通过iPhone X呼叫iPhone XR复现了这个FaceTime漏洞，推测该漏洞可能影响运行iOS 12.1或更高版本的任意iOS设备。

以下为这个FaceTime漏洞的触发方式：

• 通过iPhone中的联系人发起FaceTime视频通话。

• 拨打电话时，从屏幕底部向上滑动，然后点击添加联系人。

• 然后添加自己的电话号码。

• 最后，你将开启一个FaceTime群聊，包括你和你最初呼叫的人在内，即使那个人并未接受该呼叫。

在你的界面看来，被呼叫的人似乎已经加入了群聊，但实际上他们的设备依然在响铃。

显而易见，利用这个漏洞，你可以秘密监听任何一个iPhone用户。在苹果彻底修复这个漏洞之前，最好的防御方法就是完全禁用FaceTime。

我们还发现，如果被呼叫用户的按了锁屏状态下的电源按钮，那么他们的视频信息也会被发送给呼叫者，而且完全无察觉。在这种情况下，被呼叫的人也可以听到呼叫人的声音，但他们不知道自己正在将音频和视频传输过来。从他们的角度来看，他们只能看到接受和拒绝呼叫。而且，Facetime貌似还有其他可用于监听用户的漏洞。

我们还复现了iPhone呼叫Mac的情况。默认情况下，Mac的响铃时间比手机长，因此危害可能更大。

苹果表示，这一问题将在本周晚些时候的软件更新中得到解决。在此之前，你最好在设置中禁用FaceTime。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://9to5mac.com/2019/01/28/facetime-bug-hear-audio/amp/