最近,据9to5Mac等多家外国媒体报道,苹果手机FaceTime的重大脆弱性被曝光,该脆弱性通过FaceTime群聊功能(GroupfaceTime)给任何人打电话,直到对方接受或拒绝打电话9to5Mac 认为该漏洞会影响运行 iOS 12.1 或更高版本的任何 iOS 设备,而且可能还有其他方式可以发视频窃听。
实际上,这漏洞引发的是一起相当严重的隐私问题,因为你基本上可以监听任何 iOS 用户。尽管它表现得和正常通话一样,并不完全隐藏,但通话接收者没有任何痕迹表明你可以听到他们的声音。
苹果表示,这个问题将在本周后期的软件更新中解决。目前,除了完全禁用该功能外,还不清楚如何防御这种攻击。
两台iPhone再现监听漏洞
9to5Mac使用一台iPhoneXX调用iPhoneXR再现了FaceTime的这个漏洞。以下是再现过程:
即使用iPhone联系方式启动FaceTime;
打电话时,从屏幕底部打印,点击添加个人;
添加个人屏幕,也可以添加自己的电话号码。
打电话时,可以自己打电话,从屏幕底部打印,
在你的手机界面中看起来就像对方加入了群组聊天,但在他们的设备上,手机依然处在响铃界面。
截图来自9to5Mac
此外,9to5Mac 也用通过 iPhone 调用 Mac 重现了这个问题。默认情况下,Mac 响铃的时间比手机长,因此 Mac 系统带来的问题影响可能会持续更长时间。
这是程序员的锅吗?
一旦涉及隐私安全问题,普遍用户的态度是非常强硬的,在 HackerNews 上不少网友也从技术的角度分析了苹果出现该漏洞的原因,甚至有人认为可能是程序员的锅hellip;hellip;
@NelsonMinar:
我非常好奇这样的 bug 是怎么就能发布的。(苹果)在QAampTesting时应该发现这个问题。工程师为FaceTime写代码时,应该写下在接到呼叫之前打开麦克风,在接到电话之前在网上传输音频。那么这是谁做的?我不是恶意暗示,但我确实对缺乏防御性编程感到困惑。
虽然不是苹果工程师,但@yalok从通信的角度提出了一些意见。
我认为是由于一些因素共同引起的。
一是音频和视频捕获必须在信号水平的实际呼叫之前开始,以最小化呼叫建立延迟。例如,声音可能通过蓝牙,而唤醒BT的无提升模式需要1~2秒。
二是大部分群呼功能时由一个多带带的团队研发,群呼信令可以在UI级别松散整合,一旦UI触发转化为群呼。在内部,启动整个新库,获得转移到当前的1-1呼叫状态。
当这种转移发生时,第一次1-1次呼叫状态(由于信号)在当地或远端受到影响。因此,任何一方都认为呼叫被回答(在这种状态下,呼叫信令状态机确保了用户UI的动作,缺乏保护。)或者当地认为远程用户回应呼叫是正常的(在这种情况下,即使在1-1呼叫建立阶段,FaceTime也必须有流动音频)。
三是用户没有检查自己的电话号码是否添加到通话中,因为在群呼中有两次相同的ID/令牌,可能会导致客服信令状态机意外切换。
四是缺乏人工多次测试。(如描述的重写,bug的过程可能不是用户在FaceTime上提供群呼的主要工作流程。
苹果官方网站的系统状态更新,FaceTime群聊功能暂时无法使用。
但是,对于一部分用户来说似乎还存在漏洞,9to5Mac之所以能够重现上述过程,是因为苹果在关闭相关功能时务器。为此,TheVerge提出了通过iOS系统设置禁用FaceTime功能的建议。在Mac中,用户可以先打开应用程序,然后打开优先程序,然后取消该账户的选择,禁止使用FaceTime。
FaceTime,群组功能最初是以iOS12.1版本为基础的,在线于2018年10月130日发售,至今系统设置了12.1.3版本的还是测试版。
实际上,据TheVerge此前的报道,在iOS12.1发表的几天内发现了锁定屏幕的安全漏洞,其中涉及到FaceTime屏幕群聊功能。现在不知道这个功能脆弱性的问题有多大,但是已经3个月的可能性很高。
纽约州州长 Andrew Cuomo 在本周二晚间警告纽约市民对 FaceTime 的安全漏洞,FaceTime 漏洞是一种眼中的隐私侵犯,是纽约市民面临风险。鉴于这个错误,我建议纽约人禁用该 FaceTime 功能,直到程序修复可用。我会敦促苹果公司立即发布修复程序。
对国内用户的影响是什么?
但最终,这种潜在破坏是真实的。那么,对于国内用户来说呢?
从现在开始,答案似乎是否定的。
事件曝光后,国内信息视频平台开发者_StackOverflow梨视频咨询苹果中国官方呼叫情况,但
不/p>
不能被窃听,暂时没有漏洞说明,FaceTime的安全性比一些经营者高。
但是,根据观察者的网络测试,
使用iOS12.1.2的国行iPhoneXS通过测试,该机的FaceTime界面上没有lsquo的联系人rsquo的选项,用户不会受到相关脆弱性的影响。(作者注:应该说苹果没有漏洞,国行版没有这个功能。)
知道以前自称是数码爱好者的@文武指示,
刚试过,上升不能添加任何人。最新版本的测试系统。目测这个问题是由于群组 FaceTime 功能存在的。预计是逻辑判断问题helliphellip
,但从实际情况来看,FaceTime作为苹果系统带来的视频/语音聊天工具,不是国内用户的常用选项,而是更多国内用户将问题集中在FaceTime以外的替代品上
值得一提的是,苹果今今天刚刚披露的2019年财年第一季度财报中,苹果总营收入为843亿美元,比去年下降了5%。其中,iPhone 手机出货量的下滑最为严重,已经连续几年跌出了一个新高度,尤其是在大中华区已下滑 27%。
一名自称是苹果相关从业者的@Viki 表示,
作为一个国人,确实 FaceTime 用的少,FaceTime 对我来说唯一的作用就是,用 iPad 找iPhone在哪儿,或者用iPhone 找iPad在哪儿,新 iPhone 找旧 iPhone,或者旧 iPhone 找新iPhone。仅此而已。
甚至还有网友调侃道:试了一下,iOS 12.1.3 对这个漏洞没辙了,多人 FaceTime 也没法用,找一个开通了 FaceTime 的人又那么难。我想利用漏洞干坏事,暂时没什么好办法。谁让我试试?
也就是说,使用国行版本的用户勿需担心这个漏洞可能带来的潜在监听影响。那么,我们有什么担心的呢?
精彩评论