據(jù)國外媒體報(bào)道，蘋果數(shù)字助手Siri被發(fā)現(xiàn)存在一個(gè)新漏洞，該漏洞會(huì)導(dǎo)致不法用戶繞過密碼保護(hù)的鎖屏界面而獲得用戶的聯(lián)系人和照片等數(shù)據(jù)。從目前的情況來看，只有部分iPhone 6s和iPhone 6s Plus受到了該漏洞的影響。

這個(gè)新漏洞是由何塞·羅德里格斯（Jose Rodriguez）發(fā)現(xiàn)的，他在去年9月發(fā)現(xiàn)了一個(gè)類似的鎖屏漏洞。羅德里格斯最新發(fā)現(xiàn)的這個(gè)漏洞似乎只在特定情況下才有效。據(jù)他提供的概念驗(yàn)證視頻來看，只有iPhone 6s和iPhone 6s Plus并且它們的Siri應(yīng)用被設(shè)置成允許與Twitter、聯(lián)系人和照片進(jìn)行搜索整合時(shí)，這個(gè)漏洞才有用。

在示范案例中，用戶或者非法用戶可以通過長(zhǎng)按Home按鈕或者語音指令啟動(dòng)Siri，然后要求虛擬助手進(jìn)行Twitter搜索。如果搜索結(jié)果包含可執(zhí)行的聯(lián)系人數(shù)據(jù)比如電子郵箱地址，用戶或非法用戶就可以利用3D Touch手勢(shì)呼出相關(guān)菜單，繼而發(fā)送電子郵件、添加或修改聯(lián)系人信息。

在3D Touch的“快速操作”（Quick Actions）菜單中，點(diǎn)擊“添加到現(xiàn)有聯(lián)系人”就可以打開iPhone的聯(lián)系人清單。在適當(dāng)配置下，用戶或非法用戶還可以進(jìn)一步訪問手機(jī)的照片庫。

羅德里格斯稱，非法用戶還可以利用這個(gè)漏洞通過Siri的搜索結(jié)果來訪問WhatsApp的好友信息。

需要指出的是，這個(gè)安全漏洞必須在特定情況下才能奏效。手機(jī)用戶必須授權(quán)Siri訪問他們的Twitter帳戶、照片庫或相關(guān)應(yīng)用或者手動(dòng)配置服務(wù)權(quán)限才行。當(dāng)用戶第一次要求Siri進(jìn)行Twitter搜索時(shí)，Siri會(huì)要求訪問權(quán)限。為了驗(yàn)證所有權(quán)，Siri會(huì)要求Twitter帳戶所有人通過密碼或Touch ID進(jìn)行確認(rèn)。

如果用戶擔(dān)心自己的設(shè)備被非法入侵了，可以通過設(shè)置菜單關(guān)閉Siri來禁用Siri與Twitter整合的功能。只要在隱私設(shè)置菜單中關(guān)閉Siri整合功能，就可以切斷Siri與照片庫之間的聯(lián)系。用戶們還可以通過徹底禁用Siri來達(dá)到相同的目的。