iPhone 手机很多人都有,而 iOS 12.1 系统的你及时更新了吗?
现在的手机拍照的功能可以说是非常的强大的,超高像素/自带美颜/背景虚化等等,这一系列的自拍或当摄影师后,总不可能所拍的照片都留在手机里面吧,这时候你就需要删除一些角度差/不自然/不喜欢的照片了,当然,你会在“我的相薄”里面删除,为了手机不占储存空间,你会在“最近删除”的文件里面再删除一遍,这样就大功告成了!这是手持 iOS 设备一贯的操作方式(笔者自己也是)。
但如果我跟你说,你的私密自拍照,其实并没有「真正的删除」,你会不会大吃一惊?
是的,在本周,国外的组织的一场骇客竞赛 Mobile Pwn2Own 中,两位研究人员在运行 iOS 12.1 的 iPhone X 上,发现了一个 Safari 的漏洞,借此骇客就能窃取系统上应该要被删除(但尚未真正删除)的照片和文件。
你看,都可以防水
具体操作如下:
在示范如何窃取照片和档案的过程中,他们先透过恶意 WiFi 存取点,连接到运行 iOS 12.1 的设备,并利用 Safari 中 JIT 编译器(程序员快来呀,这是什么鬼)的漏洞,就能任意地从照片 app 的「最近删除」相簿中,窃取那些未真正被删除的照片(从内建 app 删除照片后,档案会自动移至该资料夹,待 30 天后才会自动删除)。然而这个做法,理论上也能窃取其他它经 JIT 编译器处理的文件,只是他们第一个成功窃取的是照片而已。
哇,这好危险啊,有对象的/有自拍习惯的/拍私密的都该注意啦!
其实这已经不是第一次骇客在该活动中,成功透过 Safari 的漏洞获取 iPhone 的资料了。然而按照比赛的规定,这项漏洞已于第一时间通知官方(这还是比较友好的)。只是根据富比士的报导,到笔者截稿前,该漏洞目前应该还尚未得到修补。
这时候,Android 设备的的朋友是不是笑嘻嘻呀!也先别沾沾自喜啊,因为活动中同时也发现了透过 Samsung Galaxy S9 基带漏洞和小米 6 NFC 漏洞窃取资料的手段。
活在资讯安全难有保障的当下,重要(见不得人)的资料记得妥善处理。
赶快来评论区分享你的「重要资料」!
閱讀更多 前沿資訊站點 的文章
