給iPhone充電,輸入的可能不止是電能,還可能是惡意程序。在23日召開的中國互聯(lián)網(wǎng)安全大會(huì)(isc)的移動(dòng)安全論壇上,美國佐治亞理工學(xué)院的安全專家宋程昱現(xiàn)場解析,如何用一臺(tái)“惡意充電器”在60秒內(nèi)黑掉iPhone。當(dāng)然,他也同時(shí)針對這種入侵手法提出了有效的應(yīng)對措施。
宋程昱介紹,這款惡意充電器名為“Mactans”,又被稱為“黑寡婦”,根本無需越獄,只要與iPhone連接,就能夠在用戶毫不知情的情況下,60秒內(nèi)完全侵入手機(jī)系統(tǒng)并秘密安裝惡意軟件,另外它還會(huì)自動(dòng)隱藏,偷窺手機(jī)屏幕,竊取應(yīng)用密碼甚至用手機(jī)網(wǎng)銀進(jìn)行支付,做很多普通應(yīng)用無法完成的惡意操作。
對于惡意充電器的攻擊步驟,宋程昱做了進(jìn)一步闡述。他指出,將蘋果手機(jī)與被“加工”后的充電器相連,不到一分鐘,黑客就能毫無征兆地獲取設(shè)備信息進(jìn)行配對,并安裝針對該設(shè)備的描述文件,進(jìn)而為手機(jī)安裝隱藏的惡意應(yīng)用,并在后臺(tái)悄悄運(yùn)行,而這一切用戶是完全感覺不到的。
最后,宋程昱與參會(huì)者就整個(gè)入侵過程的安全問題進(jìn)行了交流探討。宋程昱認(rèn)為,解決惡意充電器入侵要從五個(gè)方面入手:詢問用戶主機(jī)是否可信(iOS 7 已集成)、添加更多的圖標(biāo)來指示不同的狀態(tài)、添加更多的機(jī)制以防止 provisioning profile 的濫用、降低 USB 接口的默認(rèn)權(quán)限、限制對隱藏屬性的設(shè)置。另外,提高蘋果的應(yīng)用審查和惡意審批機(jī)制也是有效的防范措施。
據(jù)了解,2013年以來,蘋果iOS系統(tǒng)漏洞接連曝光,包括2013年2月發(fā)現(xiàn)的“繞過鎖屏密碼”漏洞、3月的“重置用戶密碼”漏洞、5月的“恢復(fù)用戶已刪短信”漏洞以及本次發(fā)現(xiàn)的iOS6危險(xiǎn)字符串漏洞。iOS安全也因此成為業(yè)內(nèi)焦點(diǎn)。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!