据外媒The Hacker News报道，距离苹果公司发布最新操作系统版本iOS 12.1仅仅几个小时的时间，西班牙安全研究员Jose Rodriguez就再次设法找到了一种新的iPhone密码绕过攻击方法，可以让任何人在锁定的iPhone上查看所有联系人的私人信息。 [出自:jiwo.org]

为了演示这个漏洞，Rodriguez与The Hacker News分享了一段视频，详细描述了这种新的iPhone密码绕过攻击是如何工作的。值得注意的是，从演示视频所展示的漏洞利用过程来看，这个新的漏洞要比Rodriguez之前发现的两个密码绕过漏洞更加容易利用。

不同之处在于，这个新的漏洞存在于一个名为“Group FaceTime”的新功能中。这是一个随着iOS 12.1同时推出的功能，能够让用户轻松地与更多的人进行视频聊天（最多可容纳32人，完全可以作为一款视频会议软件来使用）。

新的iPhone密码绕过攻击是如何工作的？

与Rodriguez之前发布的两种密码绕过攻击方法不同的是，这种新的方法即使是在目标iPhone没有开启Siri和Voiceover语音辅助程序功能的情况下也能正常工作，而且执行起来也更加简单。

以下是执行新的密码绕过攻击方法的几个步骤：

• 通过任何其他iPhone拨打目标iPhone（如果你不知道目标的电话号码，你可以向Siri询问“who I am”，或者让Siri逐位拨打你的电话号码），或者使用Siri来打电话给你自己的iPhone；
• 呼叫连接后，立即从同一屏幕启动“Facetime”视频呼叫；
• 然后，转到右下方菜单并选择“Add Person”；
• 现在，按加号图标（+）即可访问目标iPhone的完整联系人列表。通过对每个联系人进行3D Touch，你可以查看更多的信息。

需要注意的是，由于这种新的密码绕过攻击方法利用的是苹果的Facetime，因此只有当该过程中涉及的设备是iPhone时，该攻击方法才会起作用。

根据Rodriguez的说法，该攻击方法应该适用于当前所有的iPhone型号，包括iPhone X和iPhone XS，以及其他运行iOS 12的苹果设备。

由于没有临时解决该漏洞的方法，因此用户只能期望苹果公司尽快发布软件更新，以便能够解决这个潜在的隐私安全问题。

短短数月已有多个类似密码绕过漏洞曝出

在今年9月末，Rodriguez在iOS 12中发现了一个iPhone密码绕过漏洞，同样影响到几乎所有的iPhone型号，包括iPhone XS 和 iPhone XS Max。不过，漏洞利用需要复杂的37个步骤，并且要利用到Siri和Voiceover语音辅助程序功，允许攻击者通过物理方式访问目标iPhone的联系人和照片。

大约在两周前，Rodriguez发现了另一种iPhone密码绕过攻击方法，可以在12.0.1上工作。漏洞利用过程同样涉及到使用Siri和Voiceover语音辅助程序功能，允许攻击者能够访问处于锁屏状态iPhone上的联系人和照片。