前兩天 iPhone 6s、iPhone 6s Plus 上的 Siri 被爆出嚴(yán)重的漏洞，讓用戶可以通過一連串“調(diào)戲”手段把Siri搞懵X。具體手法如下：

呼出 Siri，命令它進(jìn)行Twitter搜索。如果搜索結(jié)果包含可執(zhí)行的聯(lián)系人數(shù)據(jù)，比如電子郵箱地址，接下來利用3D Touch手勢呼出相關(guān)菜單，就可以繞過安全驗(yàn)證發(fā)送電子郵件、添加或修改聯(lián)系人信息。

【使用 Siri 和 3D Touch 繞過安全驗(yàn)證演示】

平胸而論，Siri給出這些豐富的搜索結(jié)果也是出于“好心”。而且，Siri 的熱情并不是造成漏洞的主要原因，繞過安全驗(yàn)證的關(guān)鍵步驟是使用 3D Touch 呼出的菜單（3D Touch Quick Action）。

不過，反應(yīng)迅速的蘋果在今天就宣布修復(fù)了這個(gè)漏洞。正當(dāng)童鞋們好奇自己為什么沒有收到 iOS 升級推送的時(shí)候，蘋果發(fā)布聲明說這個(gè)漏洞其實(shí)是在服務(wù)器端修復(fù)的。

蘋果對 Siri 的情感可以用一句歌詞來概括：“怎么忍心怪你犯了錯(cuò)，是我給你自由過了火?！焙唵蝸碚f，蘋果修復(fù)的方法是：把 Siri“剁手”。

被“修理”之后的 Siri，已經(jīng)沒有權(quán)利搜索 Twitter，除非你先給手機(jī)指紋解鎖。也就是說，在驗(yàn)證你的身份之前，無論你搜索公開信息還是私人通訊錄，蘋果的策略都是一刀切——統(tǒng)統(tǒng)不允許。

然而，由于蘋果沒有推送 iOS 升級補(bǔ)丁，所以基本可以肯定 3D Touch 的漏洞并沒有被修復(fù)。只不過由于 Siri 被“剁手”，3D Touch 這個(gè)漏洞已經(jīng)沒有了“用武之地”。嚴(yán)格來說，這也算是一種修復(fù)，只是和我們想象中的不同。這樣做至少有兩點(diǎn)影響：

由于 Siri 被閹割，很可能使用其他應(yīng)用進(jìn)行搜索的功能也被限制，影響用戶體驗(yàn)。

由于 3D Touch 的漏洞并未被徹底修復(fù)，所以理論上還可能由其他途徑喚醒。

不知道限制 Siri 的權(quán)限是蘋果的本意，還是在推送系統(tǒng)升級補(bǔ)丁之前的權(quán)宜之計(jì)。只有在 iOS 9.3.2 版本推出之后，我們才會有答案。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。