苹果奇葩修漏洞 Siri被“剁手”

本篇文章765字，读完约2分钟

两天前，iphone 6s和iphone 6s plus上的siri暴露出严重漏洞，允许用户通过一系列“调情”手段混淆siri。具体技术如下:

打电话给siri，命令它进行twitter搜索。如果搜索结果包含可执行的联系人数据，如电子邮件地址，则使用3d触摸手势调出相关菜单，可以绕过安全验证发送电子邮件和添加或修改联系人信息。

[使用siri和3d touch绕过安全验证演示]

坦率地说，siri给出这些丰富的搜索结果是出于“好意”。此外，siri的热情不是漏洞的主要原因，绕过安全验证的关键步骤是使用3d触摸快速行动。

然而，反应迅速的苹果公司今天宣布，它已经修补了这个漏洞。就在孩子们的鞋子想知道他们为什么没有收到ios升级信息的时候，苹果发布了一份声明，称这个漏洞实际上是在服务器端修复的。

苹果对siri的感情可以用一句歌词来概括:“你怎么能忍受因为犯错而责怪自己呢？我给了你自由，并通过了火。”简而言之，苹果的修复方法是“砍掉”siri。

在被“修复”后，siri没有权利搜索twitter，除非你先解锁你手机的指纹。也就是说，在验证你的身份之前，无论你是搜索公共信息还是私人通讯录，苹果的策略都是一刀切——不

然而，由于苹果没有推出ios升级补丁，几乎可以肯定的是，3d touch的漏洞还没有得到修复。仅仅因为siri被“切断”，3d触摸的弱点就没有用武之地了。严格来说，这是一种修复，但它不同于我们的想象。这至少有两个效果:

因为siri被阉割了，所以使用其他应用程序的搜索功能可能也受到限制，这影响了用户体验。

由于3d触摸的脆弱性还没有完全修复，理论上它可能会被其他方式唤醒。

在推出系统升级补丁之前，我不知道限制siri的权限是苹果的初衷还是权宜之计。只有在ios9.3.2发布之后，我们才会有答案。