美國佐治亞理工學院研究員上周三出席拉斯維加斯的黑帽黑客大會,揭露蘋果公司iPhone和iPad存保安漏洞,當用戶使用藏有微電腦的假充電器,黑客便能在充電時入侵手機並安裝惡意程式,進行間諜和網絡犯罪活動。蘋果翌日宣布,iPhone和iPad新軟件iOS 7可解決相關安全漏洞,軟件料今秋面世。
不設開鎖密碼易中招
華裔研究員劉比利(Billy Lau,譯音)在會上指,假充電器藏有微電腦Mactans,只要手機無設開鎖密碼,接駁充電插頭後,電腦便可套取識別碼(UDID),乘機入侵和安裝惡意程式。安裝程序毋須獲機主允許,手機畫面亦無異常,機主難以發現。
劉比利展示一個自行設計的假充電器,成本只需45美元(約349港元),花了一周時間設計入侵方法。由於iPhone缺乏保安措施阻止安裝不明來歷的應用程式(app),惡意程式可一直潛伏機內。黑客除可入侵單一手機,又可透過蘋果的公共USB充電站,迅速發動大規模攻擊。他強調目前未有證據顯示有黑客製造出假充電插頭。
劉比利及兩名學生已通知蘋果相關保安漏洞,並獲蘋果邀請測試新軟件iOS 7。劉比利說:「裝置現在會問,你是否信任連接的電腦」,但機主若不知所用電腦或其他裝置是否可信,仍然很容易被黑客入侵。 ■美國廣播公司/路透社/techhive網站/blackhat網站
|