아이폰 시리(Siri)를 잘만 유도하면 비밀번호 입력 없이 잠긴 아이폰6/6+의 연락처와 사진에 접속하는 것이 가능한 것으로 밝혀졌다. 기존의 복잡한 방법과 달리 이 방법은 아주 간편해서 시리에게 질문만 “잘” 하면 된다. 이 취약점을 발견한 Jose Rodriguez는 유튜브에 시연 동영상을 공개했다. 방법은 다음과 같다.
– 아이폰 잠금화면에서 시리에게 트위터를 검색해 달라고 한다.
(이 때 시리가 이메일 주소가 포함된 정보를 찾아 오도록 질문을 잘 유도해야 한다.)
– 시리가 찾아준 정보에서 이메일 주소를 3D 터치로 누른다.
– 옵션창에 “연락처에 추가”를 누르면 아이폰 연락처가 열린다.
이 취약점은 연락처가 사진앱 접속이 허용된 경우 사진앱도 접속 가능하며, 왓쓰앱 친구를 찾아 달라고 해도 마찬가지가 적용된다.
취약한 기기는 아이폰 6S/6S 플러스로 아이폰에서 시리가 활성화되어 있어야 하고, 트위터가 로그인된 상태여야 한다.
해결 방법은 설정-트위터에서 시리를 끄고, 설정 – 개인정보보호 – 사진에서 시리 사진접속을 끄거나, 애플이 현지시간 5일 아침 발표한 iOS 9.3.1로 업데이트 하면 된다.
