給iPhone充電,輸入的可能不止是電能,還可能是惡意程序。在23日召開的中國互聯(lián)網(wǎng)安全大會(isc)的移動安全論壇上,美國佐治亞理工學院的安全專家宋程昱現(xiàn)場解析,如何用一臺“惡意充電器”在60秒內(nèi)黑掉iPhone。當然,他也同時針對這種入侵手法提出了有效的應對措施。
宋程昱介紹,這款惡意充電器名為“Mactans”,又被稱為“黑寡婦”,根本無需越獄,只要與iPhone連接,就能夠在用戶毫不知情的情況下,60秒內(nèi)完全侵入手機系統(tǒng)并秘密安裝惡意軟件,另外它還會自動隱藏,偷窺手機屏幕,竊取應用密碼甚至用手機網(wǎng)銀進行支付,做很多普通應用無法完成的惡意操作。
對于惡意充電器的攻擊步驟,宋程昱做了進一步闡述。他指出,將蘋果手機與被“加工”后的充電器相連,不到一分鐘,黑客就能毫無征兆地獲取設備信息進行配對,并安裝針對該設備的描述文件,進而為手機安裝隱藏的惡意應用,并在后臺悄悄運行,而這一切用戶是完全感覺不到的。
最后,宋程昱與參會者就整個入侵過程的安全問題進行了交流探討。宋程昱認為,解決惡意充電器入侵要從五個方面入手:詢問用戶主機是否可信(iOS 7 已集成)、添加更多的圖標來指示不同的狀態(tài)、添加更多的機制以防止 provisioning profile 的濫用、降低 USB 接口的默認權(quán)限、限制對隱藏屬性的設置。另外,提高蘋果的應用審查和惡意審批機制也是有效的防范措施。
據(jù)了解,2013年以來,蘋果iOS系統(tǒng)漏洞接連曝光,包括2013年2月發(fā)現(xiàn)的“繞過鎖屏密碼”漏洞、3月的“重置用戶密碼”漏洞、5月的“恢復用戶已刪短信”漏洞以及本次發(fā)現(xiàn)的iOS6危險字符串漏洞。iOS安全也因此成為業(yè)內(nèi)焦點。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!