《Disney +》 迪士尼、Marvel、彼思、星球大戰…  「MONSTER HUNTER RISE」體驗版ver.2發布中!還有機會得到金色怨龍虎等多項原創商品!   《God of War》(2018)即將登陸PC   善加運用這些實用提示來展開你的解放之旅——《破曉傳奇》今日推出   為您介紹《Tandem: A Tale of Shadows》,10月21日登陸PS4   Dead by Daylight × Resident Evil合作內容公開!追跡者、里昂、吉兒登場!   「被囚禁的帕爾馬」系列將於情人節促銷活動中最大51%OFF折扣!   《Ratchet & Clank: Rift Apart》的跨次元旋律將於7月11日登場   懷舊磁碟卡搖身一變成為卡片套!「FC磁碟機造型卡套系列」發售! 

假 iPhone 充電器可自動安裝惡意軟件

手機

1375378257395

很多人認為把手機接到充電器上充電是非常安全的,因為手機充電器只能充電,不能傳播病毒和惡意軟件。然而近日,美國喬治亞理工學院的研究人員發現,假 iPhone 充電器可以在用戶使用其充電的同時給iPhone 安裝惡意應用程序。

美國喬治亞理工學院的研究人員自己研發了一款假的 iPhone 充電器,名為“ Mactans ”。在這個假的充電器中,除了包含原有的充電部分外,還包含一個微型計算機。根據 iPhone 的設計, iPhone 在連接任何電腦時都將其視為安全的、可信賴的設備,然而除了從 USB 接口充電之外,還能對 USB 線另一端的命令進行反應,只要 iPhone 在連接這個假的充電器時處於解鎖狀態,假充電器上的微型計算機就可以對 iPhone 進行一定程度的控制。

1375378286302

研究人員發現, USB 充電器上的微型計算機可以自動給任何充電的 iPhone 安裝應用程序。要知道,iOS 系統通過沙盒系統對惡意程序的安裝有嚴格的限制,所以才有了越獄。然而,這個充電器連越獄都不需要就可以自動安裝任何應用程序。

這個假充電器的原理就是利用 iOS 系統給予開發者部署應用程序進行測試的權限進行的。部署應用程序需要獲取唯一的配置文件,而且配置文件只能在一部手機和一個應用上使用,即開發者只能在某台特定的 iPhone 上測試應用程序。配置文件由蘋果頒發,需要通過 USB 接線安裝。而這個假的充電器可以通過 USB 線獲取 iPhone 的 UDID (唯一識別碼),然後自動從蘋果的網站上獲取生成的配置文件,隨後將配置文件通過 USB 線上傳到手機中自動安裝,最後將惡意軟件安裝在用戶的手機中。

雖然通過這一充電器安裝的惡意軟件還是在沙盒中運行,但是卻可以繞過蘋果的應用程序審核,並能在用戶的手機上做不少“壞事”。在演示中,研究人員用裝有木馬的應用程序取代了 Facebook 應 ​​用程序,這個應用程序只要不被關閉(並處於解鎖狀態)就會自動截屏,並且記錄用戶的按鍵。

不過這種假充電器存在許多缺點:首先它需要用戶將手機解鎖,然後需要假充電器的製造商擁有一個可用的開發者賬號。因為蘋果的開發規則,一個開發者只能為 100 台 iOS 設備生成配置文件,而且不能通過刪除上一個配置文件來獲取新的配置文件。

雖然存在這麼多問題,而且不能大範圍使用,但是如果針對個人進行攻擊,將非常有效。如果說Mactans 假充電器能夠做到跟 iPhone 充電器一樣大的話,那麼這個小東西完全可以進入下一部《諜中諜》了。設計劇情:湯哥拿起iPhone充電,突然發現屏幕一閃所有數據都被竊取然後被抹除……

1375378313505

不過假充電器的問題可能會在下一版 iOS 系統中得到解決。iOS7 將在用戶接入 USB 設備時詢問是否信任此設備,如果用戶接入的時假充電器,將得到詢問提示,用戶就知道自己用的是假充電器。

小編:雖然說 iOS7 並沒有獲得所有果粉的芳心,但是為了安全考慮,還是更新吧。

 

轉載來源

隨機手機新聞

NordVPN