iPhone FaceTime 通话漏洞预警

阅读量1787128

|评论1

发布时间 : 2019-01-29 16:05:00

 

0x00 漏洞背景

近日,360CERT监测到iPhone FaceTime 通话出现隐私泄露漏洞。该漏洞允许攻击者在被害者接听 FaceTime 通话前,获得被害者音频,造成用户隐私泄露。

目前,Apple 已暂停 FaceTime 服务,但是经过360CERT研判,部分区域和系统版本的设备仍受影响,360CERT针对此漏洞发布预警公告。

 

0x01 漏洞利用

该漏洞存在于运行iOS 12.1或更高版本的设备中,漏洞触发过程如下:

  • 用iPhone联系人启动FaceTime视频通话。
  • 从屏幕底部向上滑动,然后点击“Add Person”。
  • 在“Add Person”中添加自己的电话号码。
  • 之后将开启组聊天,此时可以获得未接听人的音频。

 

0x02 漏洞复现

enter description here

 

0x03 漏洞影响

该漏洞影响 12.1 及更高版本的IOS设备

360CERT已证实受影响的机型:

  • iPhone X
  • iPhone XR
  • iPhone XS
  • iPhone XS max

由于漏洞是基于Group FaceTime, Macbook 、Macbook pro 以及 Macbook Air 均受影响。

 

0x04 修复建议

目前Apple 已暂停 FaceTime 服务,但是受区域及系统版本影响,部分设备仍可复现漏洞。

360CERT 建议用户暂时禁用 FaceTime 。

 

0x05 时间线

2019-01-29 360CERT获得漏洞信息

2019-01-29 360CERT复现漏洞证实漏洞存在

2019-01-29 发布预警公告

 

0x06 参考链接

  1. Major iPhone FaceTime bug lets you hear the audio of the person you are calling … before they pick up

本文由360CERT安全通告原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/170461

安全客 - 有思想的安全新媒体

分享到:微信
+125赞
收藏
360CERT安全通告
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66