苹果火速修复Siri最新漏洞 无需用户升级系统软件

沈思淼

　 据国外媒体报道，苹果今日宣布，Siri虚拟助手中新发现的那个安全漏洞已经被修复了，而且修复工作是在苹果服务器端完成的，因此不需要用户升级系统软件。

　　据昨日媒体报道称，一位名叫何塞·罗德里格斯（Jose Rodriguez）的安全研究员在Siri中发现了一个新的锁屏漏洞，会导致不法用户绕过密码保护的锁屏界面而获得用户的联系人和照片等数据。

　　苹果公司代表在声明中证实公司已在今日早些时候安装了补丁，并且表示这个解决方案不需要用户升级他们的系统软件。从声明提供的信息来看，这个漏洞可能是通过调整Siri的搜索处理权限、在苹果服务器端修复的。

　　现在，用户使用Siri进行Twitter搜索之前需要输入密码或进行Touch ID验证。由于苹果选择了优化Siri而未修复相关设备上的3D Touch Quick Action漏洞，用户使用其他应用时可能也需要进行验证。

　　苹果修复该漏洞的速度还算比较快，距离概念验证视频被发布到YouTube上的时间不足一天。在示范案例中，用户或者非法用户可以通过长按Home按钮或者语音指令启动Siri，然后要求虚拟助手进行Twitter搜索。如果搜索结果包含可执行的联系人数据比如电子邮箱地址，用户或非法用户就可以利用3D Touch手势呼出相关菜单，继而发送电子邮件、添加或修改联系人信息。

　　在3D Touch的“快速操作”（Quick Actions）菜单中，点击“添加到现有联系人”就可以打开iPhone的联系人清单。在适当配置下，用户或非法用户还可以进一步访问手机的照片库。

　　目前还不清楚苹果是否会在未来的iOS升级时发布相关补丁，但是当前这种解决方案却给Siri的用户体验增加了不必要的麻烦，而且用户还不能搜索Twitter和通过“Hey Siri”语音命令访问其他应用。