Siri再曝漏洞 便捷与安全这么难平衡？

　　日前，网络上出现一个视频，演示了 iPhone Siri 存在的一个漏洞。这个漏洞竟然允许操作者无需 iPhone 的解锁密码也能查看这台 iPhone 的联系人，甚至设备内的照片。这个视频一经网络传播，迅速引起热议。Siri 给我们方便的同时，却会趁我们不注意“出卖”我们，便捷与安全很难平衡吗？

漏洞被发现与修复只用了不到一天

　　庆幸的是，这个漏洞从曝光到修复只间隔了不到一天的时间。今天上午苹果通过《华盛顿邮报》表示，这个漏洞已经被苹果修复，无需用户自行升级软件。由此推断，苹果应该是在服务端对 Siri 的搜索权限进行了限制。今早再经过测试发现，此漏洞已经无效，说明修复已经产生作用。现在如果再试图进行推特搜索，Siri 变聪明了，她需要你先输入锁屏密码或者用指纹解锁。

　　昨天此漏洞在网络和微博上传播开来，很多用户也照着视频的步骤去尝试类似的操作，想看看到底是不是真的。结果是，大多数用户表示仍需要解锁密码，只有少数用户表示的确可以绕开密码打开通讯录和相册。因为首先发现漏洞的用户是用西班牙语发出 Siri 指令的，我们不知道具体应该发出什么指令才能利用漏洞，所以不排除大多数人其实是指令没给对的原因。直接向 Siri 发出如“打开通讯录”或“打开照片”的指令显然是徒劳的，面对这些指令， Siri 还是能保持清醒的，一贯要求输入锁屏密码或指纹。

　　视频中的用户显然是先让 Siri 帮他搜索到一串推特账号，在 Siri 提供的结果中，点击其中一个链接，用 3D Touch 手势调取出快捷菜单，分别是：发送邮件、添加到现有联系人、创建新的联系人，这个时候就可以利用到漏洞了。但是有一个关键点是，在执行搜索前，Siri 会询问“我可以使用你的推特账号去提供更多个性化推特搜索结果吗？”，用户如果选择“可以”，那么 Siri 就会给你提供她搜索到的相关推特账号。这个步骤依然是需要机主输入密码和指纹的。所以，想要利用这个漏洞，还需机主本人此前授权过Siri使用自己的推特账号才行。

　　说了那么多，你可能会以为这个漏洞并不重要，首先我们没有推特账号，更别提授权 Siri 使用推特账号了。但是在 iOS 原生系统中，与之深度集成的除了推特，还有新浪微博、腾讯微博这些国内用户常用的社交软件，还有一些第三方的APP也可能受影响。

Siri “出卖”主人已经不是第一次了

　　在去年 9 月我们曾报道过一则消息，也是关于如何利用 Siri 绕开锁屏密码访问联系人、相册的漏洞。那个时候的步骤更简单，首先激活Siri，询问Siri现在的时刻，Siri 回答后，在界面点击进入“时钟”程序，点击右上角的“+”按键，在选取城市的搜索栏中随便输入一个地名，然后长按此处，调取出“全选”-“分享”的按键，点击“分享”界面的“信息”，即可进入“信息”APP，接下来还需几个步骤就可以浏览机子的相册和联系人列表了。因为该漏洞随后也很快被苹果修复，在此不再做详细的描述。如今再进行同样的步骤将不再发现“分享”这个按键。

　　再往前追溯到 iOS7.1.1 也出现过绕开锁屏密码访问机主通讯录的情况，苹果在每次发现漏洞之后不久就迅速修复了这些安全隐患，消除用户的忧虑。其修复手段基本上是限制Siri对设备的访问权限，不免让人思考，Siri 的本意是好的，她是想给我们更多便捷的功能，比如我们在双手不方便点击手机屏幕的时候帮我们操作，但是她处处受到限制，甚至有些用户禁用了锁屏下的 Siri，她的作用发挥出来了吗？方便与安全，真的很难平衡吗？

当方便与安全不能协调时你愿保留什么

　　Siri 的确给我们带来很大的方便，比如在开车时，我们可以欢快地喊一句“嘿Siri”，她就随时待命了，你可以叫她“打电话给妈妈”，或者发短信给妈妈，甚至还可以告诉她你要发的短信内容。听起来是多么美好的场景。但想象一下，如果你的 iPhone 遗失了，不法分子拿着你的 iPhone 首先做的事是激活 Siri，然后让 Siri 打电话给你的妈妈，接下来不法分子就可以天马行空地欺骗你的妈妈，达到骗取钱财的目的，此时你的损失就可能不仅仅是一部 iPhone 了。当然，我们希望世界是美好的，捡到手机的好心人士可以让 Siri 打电话给你的妈妈，然后告诉她如何取回 iPhone。

　　方便与安全，这是个很难回答的命题。当我们将日常的一切交给 iPhone 时，我们就要面对这个矛盾的选择。有人选择方便，干脆取消了解锁密码；有人选择安全，至今不敢在手机进行任何钱财交易。如果是你，你愿意保留什么呢？

　　最好的解决方式当然是从技术上实现方便与安全的平衡。有人提出，干脆让 Siri 未来通过声音识别主人吧。这个主意不错，既能方便了主人，又减少了不法分子的可乘之机。值得期待。