據外國媒體報道,蘋果在保護iOS應用商店免遭惡意軟件攻擊方面,可謂費勁心機,而且密不透風,黑客的惡意軟件很難進入蘋果應用商店。但是,蘋果最近卻面臨著一個新煩惱——黑客通過物理設備接入iOS設備的端口,利用假充電器來對蘋果設備發動攻擊。
日前,三名喬治亞理工學院的科技安全研究人員展示了一項試驗——利用一款帶有惡意程序的假充電器來攻擊iPhone 5,這款假充電器是基于一款價值45美元的三平方英寸大小的BeagleBoard單板計算機。研究人員將這款假充電器命名為“Mactans”,這款假充電器可以在被攻擊手機上悄悄地安裝惡意軟件,并在一分鐘之內完全進入被攻擊的手機。
盡管研究人員已經描述了Mactans的相關情況,但是,他們一直沒有展示這款假充電器是如何將惡意應用安裝到蘋果鎖定的移動操作系統中的。事實表明,這種充電器的騙術就是利用蘋果開發者模式中的潛在安全漏洞來發動攻擊。在蘋果的開發者模式中,任何獲得開發者許可證的人都可以在注冊的蘋果設備上安裝定制軟件,因此,Mactans就可以解讀連接設備上的唯一設備識別碼(Unique Device Identifier,簡稱UDID),并在幾秒鐘的時間內將此假充電器注冊成為開發者的測試設備,然后再利用其作為開發者設備的特權來安裝其惡意軟件。
這種假充電器會認真地刪除用戶的合法Facebook應用,并重新安裝含有惡意軟件的假Facebook應用,甚至還可以將此假Facebook應用放在用戶手機屏幕上與真Facebook應用相同的位置。
研究人員在展示過程中,展現出他們能夠將陳舊的iPhone 5接入到假充電器上,在一分鐘之內,又悄無聲息地將含有惡意程序的假Facebook應用安裝到iPhone 5之中。
對于假充電器的欺騙漏洞問題,蘋果目前還沒有發表相關的評論意見。但是,喬治亞理工大學的科研人員表示,他們已經與蘋果就此事宜進行了溝通。最終的結果可能是,研究人員指出iOS 7測試版中包含一款新的“安全衛士”——詢問用戶是否愿意將他們的手機連接到任何插入到其數據端口、而不是自動開始共享數據的電腦之中,以此弄清用戶是否信任這種連接。
當用戶的手機被接入任何嘗試建立數據連接的設備上時,新的警告信息就會提示:“你信任目前連接的計算機嗎?信任這臺計算機就將允許它完全接觸你的設備及你設備上的所有數據。”當然,如果這臺連接的設備是一種帶有惡意程序的充電器,那用戶當然要回答“不”。
推薦閱讀
感謝WP8論壇的投遞最新消息,微軟還將為開發者SDK發布一個更新,這可>>>詳細閱讀
本文標題:假iPhone充電器可被用于安裝惡意軟件
地址:http://m.sdlzkt.com/a/05/20130802/281853.html
網友點評
精彩導讀
科技快報
品牌展示