苹果Facetime曝出任意用户都可利用的监听漏洞

iso60001  173天前

22.jpg

近期,苹果的FaceTime曝出一个严重的安全漏洞,可以让你在对方不知情的情况下监听他人的对话。具体来说,就是在用FaceTime给任何人打电话时,在对方接受或拒绝呼叫之前,就能立即听到他们那边的声音。苹果表示,这个漏洞将在“本周晚些时候”的软件更新中被解决。(更新:苹果貌似已将有漏洞的功能下线)。

这是一个相当严重的隐私问题,因为任何人都可以监听其他iOS用户,尽管这一过程中Facetime不可避免地会发出铃声。

9to5Mac通过iPhone X呼叫iPhone XR复现了这个FaceTime漏洞,推测该漏洞可能影响运行iOS 12.1或更高版本的任意iOS设备。

以下为这个FaceTime漏洞的触发方式:

  • 通过iPhone中的联系人发起FaceTime视频通话。

  • 拨打电话时,从屏幕底部向上滑动,然后点击添加联系人。

  • 然后添加自己的电话号码。

  • 最后,你将开启一个FaceTime群聊,包括你和你最初呼叫的人在内,即使那个人并未接受该呼叫。

在你的界面看来,被呼叫的人似乎已经加入了群聊,但实际上他们的设备依然在响铃。

33.png

显而易见,利用这个漏洞,你可以秘密监听任何一个iPhone用户。在苹果彻底修复这个漏洞之前,最好的防御方法就是完全禁用FaceTime。

我们还发现,如果被呼叫用户的按了锁屏状态下的电源按钮,那么他们的视频信息也会被发送给呼叫者,而且完全无察觉。在这种情况下,被呼叫的人也可以听到呼叫人的声音,但他们不知道自己正在将音频和视频传输过来。从他们的角度来看,他们只能看到接受和拒绝呼叫。而且,Facetime貌似还有其他可用于监听用户的漏洞。

我们还复现了iPhone呼叫Mac的情况。默认情况下,Mac的响铃时间比手机长,因此危害可能更大。

苹果表示,这一问题将在本周晚些时候的软件更新中得到解决。在此之前,你最好在设置中禁用FaceTime。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://9to5mac.com/2019/01/28/facetime-bug-hear-audio/amp/

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号