某個 iPhone X 的漏洞讓駭客可以竊取「最近刪除」的照片
研究人員在本週的一場駭客活動中發現了這個問題。
Lanmo Chang
1 小時前
無論是為了什麼理由,相信大家都曾在手機上刪除過照片吧。但如果
我跟你說,你那張凌晨三點時喝醉的自拍,其實並沒有「真的消失」
,你會做何感想呢?本週在國外的一場駭客競賽 Mobile Pwn2Own 中
,兩位研究人員 Richard Zhu 和 Amat Cama 在運行 iOS 12.1 的
iPhone X 上,發現了一個 Safari 的漏洞,藉此駭客就能竊取系統
上應該要被刪除(但尚未真正刪除)的照片和文件。而他們也因此成
功地獲得了 5 萬美元的活動獎金。
在示範如何竊取照片和檔案的過程中,他們先透過惡意 WiFi 存取點
連接到運行 iOS 12.1 的設備,並利用 Safari 中 JIT 編譯器的漏
洞,就能任意地從照片 app 的「最近刪除」相簿中,存取這些未真
正被刪除的照片(從內建 app 刪除照片後,檔案會自動移至該資料
夾,待 30 天後才會自動刪除)。然而這個做法,理論上也能用於竊
取其它經 JIT 編譯器處理的檔案,只是他們第一個成功竊取的檔案
是照片而已。
其實這已經不是第一次駭客在該活動中,成功透過 Safari 的漏洞獲
取 iPhone 的資料了。然而按照比賽的規定,這項漏洞已於第一時間
通知官方。只是根據富比士的報導,該漏洞目前應該還尚未得到修補
。如果你手邊恰巧使用的是 Android 設備,也先別沾沾自喜啊,因
為活動中同時也發現了透過 Samsung Galaxy S9 基帶漏洞和小米 6
NFC 漏洞竊取資料的手段。只能說,活在資訊安全難有保障的當下,
重要(見不得人)的資料記得妥善處理囉。
https://engt.co/2PYhzCG
心得:
還好只是最近刪除的照片有這問題,如果沒有把照片刪除就沒這問題
請注意就是Android手機也可能有相似的問題自己要注意一下
避免不想被洩漏的東西洩漏出去就不好