蘋果周一悄悄宣布,iOS 15包括一些安全改進(jìn),包括增強(qiáng)Face ID的防欺騙模型。根據(jù)一份配合iOS 15發(fā)布的支持文件,蘋果已經(jīng)解決了一個(gè)Face ID漏洞,其中一個(gè)3D模型可能被用來訪問某些iPhone和iPad Pro型號(hào)。
正如螞蟻金服光年安全實(shí)驗(yàn)室的Wish Wu所發(fā)現(xiàn)的,以前的Face ID版本可能被騙去驗(yàn)證一個(gè)3D模型,它"構(gòu)造得像注冊(cè)的用戶"。蘋果公司通過更新Face ID防欺騙模型,糾正了這個(gè)潛在的安全問題。
該漏洞存在于所有未運(yùn)行iOS 15的具有Face ID功能的設(shè)備上,包括iPhone X、iPhone XR、iPhone XS、iPhone 11、iPhone 12和iPad Pro。
據(jù)報(bào)道,Wu因此在2019年成為頭條新聞,因?yàn)樗l(fā)現(xiàn)了一個(gè)類似的Face ID黑客,據(jù)說他僅僅用黑白打印的圖像和"一些膠帶"就擊敗這套可能是全球最多人用的面部識(shí)別系統(tǒng)。他準(zhǔn)備在當(dāng)年的黑帽亞洲會(huì)議上提交一份關(guān)于此事的報(bào)告,但在螞蟻金服發(fā)現(xiàn)了與調(diào)查結(jié)果不一致的地方后撤回了這一計(jì)劃。
今天修補(bǔ)的Face ID漏洞似乎是8月份首次報(bào)告的一個(gè)獨(dú)立問題。
iOS 15中還包括對(duì)CoreML、蘋果的神經(jīng)引擎、內(nèi)存處理、dfont、內(nèi)核問題和一些WebKit漏洞的修復(fù),其中一些漏洞可能允許惡意行為者在目標(biāo)設(shè)備上執(zhí)行任意代碼。
(舉報(bào))