據(jù)國外媒體報道，蘋果數(shù)字助手Siri被發(fā)現(xiàn)存在一個新漏洞，該漏洞會導(dǎo)致不法用戶繞過密碼保護的鎖屏界面而獲得用戶的聯(lián)系人和照片等數(shù)據(jù)。從目前的情況來看，只有部分iPhone 6s和iPhone 6s Plus受到了該漏洞的影響。

這個新漏洞是由何塞·羅德里格斯（Jose Rodriguez）發(fā)現(xiàn)的，他在去年9月發(fā)現(xiàn)了一個類似的鎖屏漏洞。羅德里格斯最新發(fā)現(xiàn)的這個漏洞似乎只在特定情況下才有效。據(jù)他提供的概念驗證視頻來看，只有iPhone 6s和iPhone 6s Plus并且它們的Siri應(yīng)用被設(shè)置成允許與Twitter、聯(lián)系人和照片進行搜索整合時，這個漏洞才有用。

在示范案例中，用戶或者非法用戶可以通過長按Home按鈕或者語音指令啟動Siri，然后要求虛擬助手進行Twitter搜索。如果搜索結(jié)果包含可執(zhí)行的聯(lián)系人數(shù)據(jù)比如電子郵箱地址，用戶或非法用戶就可以利用3D Touch手勢呼出相關(guān)菜單，繼而發(fā)送電子郵件、添加或修改聯(lián)系人信息。

在3D Touch的“快速操作”（Quick Actions）菜單中，點擊“添加到現(xiàn)有聯(lián)系人”就可以打開iPhone的聯(lián)系人清單。在適當(dāng)配置下，用戶或非法用戶還可以進一步訪問手機的照片庫。

羅德里格斯稱，非法用戶還可以利用這個漏洞通過Siri的搜索結(jié)果來訪問WhatsApp的好友信息。

需要指出的是，這個安全漏洞必須在特定情況下才能奏效。手機用戶必須授權(quán)Siri訪問他們的Twitter帳戶、照片庫或相關(guān)應(yīng)用或者手動配置服務(wù)權(quán)限才行。當(dāng)用戶第一次要求Siri進行Twitter搜索時，Siri會要求訪問權(quán)限。為了驗證所有權(quán)，Siri會要求Twitter帳戶所有人通過密碼或Touch ID進行確認。

如果用戶擔(dān)心自己的設(shè)備被非法入侵了，可以通過設(shè)置菜單關(guān)閉Siri來禁用Siri與Twitter整合的功能。只要在隱私設(shè)置菜單中關(guān)閉Siri整合功能，就可以切斷Siri與照片庫之間的聯(lián)系。用戶們還可以通過徹底禁用Siri來達到相同的目的。