据外媒报道，iOS12.1在FaceTime群组通话功能上处置不当，导致一名别有用心的攻击者无需解锁，即可访问到一部iPhone上的通信录详情。向公众新发布的iOS12.1，提升了FaceTime群组视频通话的人数上限（从2人到32人）。但苹果缺乏防止（增加会话人数）选项被滥用的措施，尤其在iPhone被锁定的情况下。

　　安全研究人员JoseRodriguez发现了这个问题，并将之汇报给了HackerNews。不过该bug利用了iOS中的诸多元素，才实现了在不解锁iPhone的情况下查看联系人详情。

　　视频演示中，被攻击的iPhone先被另一部手机呼叫。接听并建立连接之后，Rodriguez将呼叫类型换成了FaceTime视频通话，然后点击了右下菜单的‘添加其他人’。

　　通过点击加号图标，设备会显示完整的联系人列表。结合3DTouch功能，还可以展示联系人的更多详细信息，包括电子邮件地址、电话号码等。

　　攻击可针对运行iOS12.1的所有iPhone机型，包括iPhoneXS/XSMax，但iPhoneXR似乎幸运逃脱。

　　AppleInsider尝试在iPhoneXR上执行相同的测试，结果发现——即便能够在手机锁定时调出通讯录，但3DTouch功能的缺乏，让攻击者无法查看到额外的数据。

　　iOS12.1allowsbypassthepasscodetoseeallcontactsprivateinformation（via）

　　Rodriguez此前曝光过其它可以绕过锁屏来访问iPhone联系人（及其它数据）的方法。比如通过VoiceOver屏幕阅读器、或便签（Notes）应用。

　　不过新曝出的bug实现起来更加简单，因为它无需VoiceOver处于活跃状态，所以能够针对更广泛的设备发起攻击。

　　即便如此，这类攻击的范围也是相当有限的。毕竟他们得先拿到设备的物理访问权限、并通过另一部iPhone来发起呼叫。

　　就算得逞，攻击者也只是收集到与联系人相关的部分信息。存储在iPhone内的用户私人数据，并不存在这样的风险。

　　苹果可能会在未来版本的iOS更新中修复这个bug，但不知具体要等待多长时间。