iPhone保安漏洞 黑客短訊可操控
偷用戶身分重要資料
【明報專訊】手機保安專家發現,蘋果iPhone以至使用微軟WM平台的智能手機等,都存在重大保安漏洞,令黑客能用含有惡意程式密碼的手機短訊,操控用戶的手機,偷取用戶的身分以至重要個人資料,只要黑客知道閣下的電話號碼,理論上就能下手。
全球頂尖電腦安全專家會議「Black Hat」本周在拉斯維加斯舉行,會上3組專家都不約而同指出,短訊可能成為黑客控制他人智能手機、從事不法活動的工具,就連iPhone亦非絕對安全。
「這實在驚人,我不想別人操控制我的iPhone。」保安分析師米勒(Charlie Miller)說。來自柏林科技大學的米勒和同僚馬利納(Collin Mulliner)發現,黑客只消一個「惡意程式短訊」,就能令受害用戶的iPhone無法駁上手機服務供應商的網絡,阻止用戶打電話、上網及收發短信。
可阻打電話上網發短訊
他們指出,有關的惡意程式,可針對iPhone處理收發短訊時的漏洞,癱瘓軟件系統,而最令人防不勝防的是,受害者根本不知收過惡意短訊;理論上,黑客還可針對某一受害者的手機,發出500則「惡意短訊」攻擊指令,利用iPhone在處理如此龐大短訊量時的記憶體運作漏洞,成功遙控受害者的 iPhone。
7月中警告蘋果 至今未修正
他們表示,若罪犯掌握了他們在會議上談及的技巧,足以在兩周內開發出軟件,入侵iPhone。他們曾於7月中警告蘋果這個保安漏洞,呼籲蘋果方面應盡快堵塞,惟蘋果迄今仍未有修正。一名業界分析師說:「蘋果若對此不作回應,會損害他們的商譽。」
這次保安會議,約有4000名專家出席,當中包括一些真正的黑客。研究員向觀眾展示如何透過電話的SMS短訊功能,發放惡意電腦程式碼,從而入侵 iPhone。由於一些手提電話本來就會透過短訊功能,接收軟件自動更新指示,研究人員指出,用家不可能分出他們接收的,到底是否惡意程式密碼。
黑客入侵技巧全球通行
保安專家表示,他們覺得絕對有需要警告用家,iPhone其實就如個人電腦一樣會容易遭到攻擊。專家馬利納說:「若我們不說出來,人們依然會悄悄地做,那些壞人無論如何都會做。」他和拍檔米勒曾針對德國4個電訊供應商以及美國電訊供應商AT&T進行測試,成功利用有關技巧,入侵這些供應商的 iPhone手機,因此他們相信有關的黑客入侵技巧「全球通行」。
WM同樣出事 智能手機恐受襲
【明報專訊】現在的智能手機就像是迷你版個人電腦,愈來愈多人用手機處理敏感數據、收發電郵、完成網上付費等。隨覑它們對犯罪分子的「吸引力」愈來愈大,智能手機像個人電腦般成為襲擊目標的風險也愈來愈高。
手機保安專家米勒表示,手機短訊攻擊料將變得日益普遍,因為收發短訊已成手機必然功能,不可能取締,「黑客只需知道你的手機號碼,只要你的電話開覑,黑客就能為所欲為,用戶完全無力抵抗」。米勒和馬利納表示,他們也用差不多的方法,成功入侵使用Google Android和視窗WM作業系統的電話。在收到通知後,Google已修補了有關漏洞,惟視窗WM仍未處理。
專家提醒收軟件更新短訊要小心
有保安專家也針對台灣HTC的手機進行測試,成功透過惡意短訊,令受害者的手機出現pop up畫面,又或自動連上一些色情網頁。專家提醒在收到手機軟件更新的短訊時,要多加小心。他們同時認為手機服務供應商可在這方面幫手把關,過濾惡意程式短訊的發送。
專家指出,在某些方面,手機似乎仍較電腦安全一點,皆因手機網絡供應商對通訊網絡的控制,比互聯網服務供應商的要嚴格得多,所以他們在對付黑客入侵上,至少能處於一個較有利的位置,但要判斷那些通訊(短訊)是有害還是無害,卻絕不容易。即便是最審慎的手機用戶,也可能遭受黑客攻擊,強迫登上色情或含病毒網站,因為他們無法控制手機進來的內容。
追查病毒來源不容易
另外,技術人員想追查手機病毒的源頭,也不容易,尤其是現在不少手機商家都有「預繳電話卡」一類服務,客戶毋須簽長期合約,也就找不到具體的手機使用者。
+ + +
其實我一直都對手機電腦沒興趣,主要就是猜到它的保安問題極為嚴重,當然我一向不喜歡小螢幕是另外一個主因——15年前的機子的表現,令我深明低功能的機子的安全性絕對成疑。 |
