iOS 15再次出現可繞開鎖屏讀取備忘錄信息漏洞

伴隨著iPhone 13系列的發售，iOS15正式版得以正式推送，而信息安全研究者也時刻關注著這一新系統。相關人員近期就發現，iOS 15正式版仍然沒有修復iOS 14.8存有的安全漏洞，攻擊者可以通過這一漏洞繞過iPhone或是iPad的鎖定密碼和生物驗證機制，直接訪問設備備忘錄中的內容。

新發現的系統漏洞似乎與此前已解決的漏洞如出一轍。在今年早些時候，iOS系統存有CVE-202-1835以及CVE-2021-30699編號的系統漏洞，不法分子可以利用這些系統漏洞直接在設備鎖定的狀態下，獲取iOS設備中一些即時通訊應用的內容，知名通訊軟件WhatsApp以及Telegram都在其中。

在漏洞發現后，蘋果緊急發布了新版本以解決這一問題。

現在，新的問題再次出現，只不過訪問的對象從第三方應用轉為了iOS內部的備忘錄應用。研究者發現，利用漏洞的一些機制，可以直接喚醒Siri或是旁白服務，從而直接訪問備忘錄信息，這一過程無需輸入密碼，也不需要通過FaceID或是其他生物驗證手段。

蘋果目前并沒有對這一情況發表聲明，不過我們有理由相信蘋果會在未來的版本中修復這一漏洞。事實上，一直以來，iOS的版本更迭都在小修小補中進行，幾乎在每一個版本發布之前，相關研究者都能為蘋果提供一系列漏洞數據，以幫助蘋果完善iOS系統的信息安全體驗。

參考來源：

https://securityaffairs.co/wordpress/122740/hacking/lock-screen-vulnerability.html