苹果又出重大漏洞，黑客竟然能找回删除的照片

无论是为了什么理由，相信大家都曾在手机上删除过照片吧。但如果我跟你说，你那张凌晨三点时喝醉的自拍，其实并没有「真的消失」，你会作何感想呢？本周在国外的一场黑客竞赛 Mobile Pwn2Own 中，两位研究人员 Richard Zhu 和 Amat Cama 在运行 iOS 12.1 的 iPhone X 上，发现了一个 Safari 的漏洞，藉此黑客就能窃取系统上应该要被删除（但尚未真正删除）的照片和文件。而他们也因此成功地获得了 5 万美元的活动奖金。

在示范如何窃取照片和文件的过程中，他们先透过恶意 WiFi 存取点连接到运行 iOS 12.1 的设备，并利用 Safari 中 JIT 编译器的漏洞，就能任意地从照片 app 的「最近删除」相簿中，存取这些未真正被删除的照片（从内建 app 删除照片后，文件会自动移至该文件夹，待 30 天后才会自动删除）。然而这个做法，理论上也能用于窃取其它经 JIT 编译器处理的文件，只是他们第一个成功窃取的文件是照片而已。

其实这已经不是第一次黑客在该活动中，成功透过 Safari 的漏洞获取 iPhone 的资料了。然而按照比赛的规定，这项漏洞已于第一时间通知官方。只是根据福布斯的报道，该漏洞目前应该还尚未得到修补。如果你手边恰巧使用的是 Android 设备，也先别沾沾自喜啊，因为活动中同时也发现了透过 三星 Galaxy S9 基带漏洞和小米 6 NFC 漏洞窃取资料的手段。只能说，活在信息安全难有保障的当下，重要（见不得人）的资料记得妥善处理啰。