昨天社交媒体上一篇关于苹果新错误传播。FaceTime似乎有一个缺陷,允许你打电话给某人,但如果他们没有接听,你可以用麦克风收听。更糟糕的是,随着消息的传播,事实证明还有一种方法可以从目标设备上的摄像头捕获视频,而且这个问题不仅影响到iPhone和iPad,还影响到Mac电脑也

结果,大家异口同声地说着同样的话:关掉FaceTime。不过,好消息是,如果你现在正在收听,这是完全没有必要的,因为苹果已经关闭了允许这个漏洞运行的服务。

窃听器是如何工作的?

该漏洞完全依赖于iOS 12.1和macOS 10.14.1的一个称为组FaceTime的功能。如果您使用的是较旧版本的iOS或macOS,那么您没有什么好担心的。

这个漏洞涉及到在群聊时做一些不寻常的事情。首先,你得给你的目标用户打个FaceTime电话。接下来,当呼叫还在响时,您需要打开Add Person屏幕并将自己添加到呼叫中。这样做会触发群聊,目标的麦克风就会被激活,即使他们没有回答。

从目标手机的摄像头捕获视频需要两种已知技术之一。一种是希望接收者按下手机上的电源按钮来“拒绝”通话,在这种情况下,摄像头也会打开。(当然,如果他们按两次,就像一些人在这些天的诈骗电话中习惯在iPhone上做的那样,这会再次切断视频。但你仍然会看到视频的闪光。)

或者,你也可以从另一台设备加入通话,这也会打开接收者的摄像头。(虽然我能够测试和验证其他一切,但直到苹果禁用FaceTime组后,我才知道这一技巧,所以我无法从个人经验验证这一点。)

有什么危险?

做这个工作,你将需要依靠目标不回答,这可能是精心策划如果目标的活动是已知的可能,他或她都不愿回答的时候打电话,和做或说一些感兴趣的。(我想我们都能想出至少一个这样的活动!)

幸运的是,这在很大程度上排除了普遍的监视,尽管如此,在漏洞被发现的短暂时间内,还是有一些勇敢的努力(很可能是恶作剧)。

这也没有开启开放式窃听。FaceTime会响一段时间,但不会永远响。最多,你可能会有一分钟左右的监视时间。这也不是最隐秘的攻击,因为你会在这个过程中宣布自己的身份。

所有这些都意味着,除了恶作剧之外,任何事情的风险都相当低。我个人认为没有必要在我的设备上关闭FaceTime。一旦我意识到,我可以简单地盖上相机结束通话,或者通过玩游戏与来电者玩得开心Rick Astley进入手机的麦克风!

这是如何解决的?

苹果通过在服务器上禁用群聊视频暂时解决了这个问题。这意味着你不能再把人添加到FaceTime通话中,所以这个bug目前无法触发。毫无疑问,苹果将发布iOS和macOS更新,并修复这个漏洞。

目前还不知道苹果会在发布该更新后多久重新启用组FaceTime,因此,如果您使用的是iOS 12.1或macOS 10.14.1,及时安装下一个更新将是非常重要的!您不想被抓到(可能是字面意思)在组FaceTime开关重新打开后,在易受攻击的系统上。

这是怎么发生的?

苹果最近出现了异常多的引人注目和令人尴尬的漏洞,这让很多人质疑苹果的质量保证流程出了什么问题。这个bug也不例外。

更糟糕的是,似乎至少有一个人在消息传出前两周就知道了这个漏洞,并且一直试图提醒苹果。

目前还不清楚这个人使用的是苹果的哪个联络点,所以完全有可能苹果的合适人选直到在新闻上看到这个消息才知道这件事。由于苹果在消息传出后才关闭了群聊功能,我希望情况确实如此。更令人担忧的是,苹果公司的合适人选是否知道这个漏洞,但却没有打电话禁用群聊。

外卖是什么?

总之,在这一点上,绝对没有理由恐慌或关闭FaceTime。如果你关闭了FaceTime,并且你想重新打开它,那么这样做是安全的,只要你不延迟安装下一个更新。没有迹象表明FaceTime在没有组FaceTime可用的情况下会被滥用。

有些人会将此作为延迟安装系统更新的原因。他们会说,你应该等待,让其他人解决问题。然而,这是一个值得怀疑的建议。如果您使用的是旧版本的iOS或macOS,那么您使用的系统存在已知的安全问题。这比升级到一个新版本的系统要危险得多,因为在新版本的系统中还没有任何已知的安全问题。从安全角度来看,您应该始终及时安装更新。