據外媒The Hacker News報道，距離蘋果公司釋出最新作業系統版本iOS 12.1僅僅幾個小時的時間，西班牙安全研究員Jose Rodriguez就再次設法找到了一種新的iPhone密碼繞過攻擊方法，可以讓任何人在鎖定的iPhone上檢視所有聯絡人的私人資訊。

為了演示這個漏洞，Rodriguez與The Hacker News分享了一段視訊，詳細描述了這種新的iPhone密碼繞過攻擊是如何工作的。值得注意的是，從演示視訊所展示的漏洞利用過程來看，這個新的漏洞要比Rodriguez之前發現的兩個密碼繞過漏洞更加容易利用。

不同之處在於，這個新的漏洞存在於一個名為“Group FaceTime”的新功能中。這是一個隨著iOS 12.1同時推出的功能，能夠讓使用者輕鬆地與更多的人進行視訊聊天（最多可容納32人，完全可以作為一款視訊會議軟體來使用）。

新的iPhone密碼繞過攻擊是如何工作的？

與Rodriguez之前釋出的兩種密碼繞過攻擊方法不同的是，這種新的方法即使是在目標iPhone沒有開啟Siri和Voiceover語音輔助程式功能的情況下也能正常工作，而且執行起來也更加簡單。

以下是執行新的密碼繞過攻擊方法的幾個步驟：

• 通過任何其他iPhone撥打目標iPhone（如果你不知道目標的電話號碼，你可以向Siri詢問“who I am”，或者讓Siri逐位撥打你的電話號碼），或者使用Siri來打電話給你自己的iPhone；
• 呼叫連線後，立即從同一螢幕啟動“Facetime”視訊呼叫；
• 然後，轉到右下方選單並選擇“Add Person”；
• 現在，按加號圖示（+）即可訪問目標iPhone的完整聯絡人列表。通過對每個聯絡人進行3D Touch，你可以檢視更多的資訊。

需要注意的是，由於這種新的密碼繞過攻擊方法利用的是蘋果的Facetime，因此只有當該過程中涉及的裝置是iPhone時，該攻擊方法才會起作用。

根據Rodriguez的說法，該攻擊方法應該適用於當前所有的iPhone型號，包括iPhone X和iPhone XS，以及其他執行iOS 12的蘋果裝置。

由於沒有臨時解決該漏洞的方法，因此使用者只能期望蘋果公司儘快釋出軟體更新，以便能夠解決這個潛在的隱私安全問題。

短短數月已有多個類似密碼繞過漏洞曝出

在今年9月末，Rodriguez在iOS 12中發現了一個iPhone密碼繞過漏洞，同樣影響到幾乎所有的iPhone型號，包括iPhone XS 和 iPhone XS Max。不過，漏洞利用需要複雜的37個步驟，並且要利用到Siri和Voiceover語音輔助程式功，允許攻擊者通過物理方式訪問目標iPhone的聯絡人和照片。

大約在兩週前，Rodriguez發現了另一種iPhone密碼繞過攻擊方法，可以在12.0.1上工作。漏洞利用過程同樣涉及到使用Siri和Voiceover語音輔助程式功能，允許攻擊者能夠訪問處於鎖屏狀態iPhone上的聯絡人和照片。