IOS 18 和 macOS Sequoia 上的 iPhone 鏡像有安全漏洞

Sevco 安全團隊發現新的「iPhone Mirroring」功能存在漏洞，該漏洞允許在 Mac 上顯示 iPhone 螢幕，從而導致用戶資料洩露給雇主。這是蘋果在 iOS 18 和 macOS Sequoia 上推出的新功能。

當使用者使用此功能時，Mac 將建立一個資料夾，其中包含有關正在使用的 iPhone 應用程式的資訊。

雖然應用程式的具體內容沒有暴露，但攻擊者仍然可以透過自動網路檢查存取iPhone上安裝的應用程式清單。這可能會帶來隱私風險，尤其是在辦公環境中，員工在個人手機上使用的應用程式可能會暴露給雇主。

Sevco 已將這個漏洞告知蘋果公司，並建議用戶暫時停止在工作時使用 Mac 上的 iPhone 鏡像功能，直到蘋果公司發布修補程式為止。

洩漏用戶 iPhone 上安裝的應用程式資訊可能會導致嚴重後果，例如：

雇主可能會根據員工使用的應用程式（例如約會應用程式、心理健康應用程式等）對他們產生偏見。

某些應用程式可能會在某些國家受到限製或禁止。

如果發現未經許可收集員工的個人數據，雇主可能會面臨法律麻煩。

希望蘋果能盡快修復此漏洞，保護用戶隱私。

iOS 18 出現神祕漏洞，iPhone 會大聲讀出使用者密碼

iOS 18 和 iPadOS 18 中發現的一個嚴重漏洞允許 VoiceOver 功能讀出儲存的密碼，威脅用戶的隱私，並引發科技業的重大資訊安全疑慮。

此漏洞的代碼為 CVE-2024-44204，是新密碼管理器應用程式中的邏輯錯誤。 VoiceOver 讀取使用者密碼的能力可能會洩露個人訊息，從而允許未經授權存取該帳戶。

多款 iPhone 和 iPad 機型，包括 iPhone X 以及第三代以上的 iPad 機型（如 iPad Pro 和 iPad Air），都受到此漏洞的影響。

為了修復這個嚴重的bug，蘋果迅速發布了iOS 18.0.1和iPadOS 18.0.1更新。同時，該公司也確認已經實施了更嚴格的測試措施，以確保 VoiceOver 不再能夠讀取使用者的密碼。

除了 VoiceOver 漏洞之外，iOS 18 版本還遇到了許多其他問題，例如影響新款 iPhone 16 機型的 CVE-2024-44207 漏洞，該漏洞允許在未通知用戶麥克風處於活動狀態的情況下錄製語音訊息。幸運的是這個問題已經解決。

VoiceOver 漏洞是由獨立研究員 Bistrit Daha 發現的。這些漏洞的出現強調了用戶定期更新設備的重要性，並顯示了獨立安全審計在檢測和修復此類問題方面的價值。