據(jù)外國媒體報(bào)道，蘋果在保護(hù)iOS應(yīng)用商店免遭惡意軟件攻擊方面，可謂費(fèi)勁心機(jī)，而且密不透風(fēng)，黑客的惡意軟件很難進(jìn)入蘋果應(yīng)用商店。但是，蘋果最近卻面臨著一個(gè)新煩惱——黑客通過物理設(shè)備接入iOS設(shè)備的端口，利用假充電器來對蘋果設(shè)備發(fā)動(dòng)攻擊。
日前，三名喬治亞理工學(xué)院的科技安全研究人員展示了一項(xiàng)試驗(yàn)——利用一款帶有惡意程序的假充電器來攻擊iPhone 5，這款假充電器是基于一款價(jià)值45美元的三平方英寸大小的BeagleBoard單板計(jì)算機(jī)。研究人員將這款假充電器命名為“Mactans”，這款假充電器可以在被攻擊手機(jī)上悄悄地安裝惡意軟件，并在一分鐘之內(nèi)完全進(jìn)入被攻擊的手機(jī)。
盡管研究人員已經(jīng)描述了Mactans的相關(guān)情況，但是，他們一直沒有展示這款假充電器是如何將惡意應(yīng)用安裝到蘋果鎖定的移動(dòng)操作系統(tǒng)中的。事實(shí)表明，這種充電器的騙術(shù)就是利用蘋果開發(fā)者模式中的潛在安全漏洞來發(fā)動(dòng)攻擊。在蘋果的開發(fā)者模式中，任何獲得開發(fā)者許可證的人都可以在注冊的蘋果設(shè)備上安裝定制軟件，因此，Mactans就可以解讀連接設(shè)備上的唯一設(shè)備識(shí)別碼（Unique Device Identifier，簡稱UDID），并在幾秒鐘的時(shí)間內(nèi)將此假充電器注冊成為開發(fā)者的測試設(shè)備，然后再利用其作為開發(fā)者設(shè)備的特權(quán)來安裝其惡意軟件。
這種假充電器會(huì)認(rèn)真地刪除用戶的合法Facebook應(yīng)用，并重新安裝含有惡意軟件的假Facebook應(yīng)用，甚至還可以將此假Facebook應(yīng)用放在用戶手機(jī)屏幕上與真Facebook應(yīng)用相同的位置。
研究人員在展示過程中，展現(xiàn)出他們能夠?qū)㈥惻f的iPhone 5接入到假充電器上，在一分鐘之內(nèi)，又悄無聲息地將含有惡意程序的假Facebook應(yīng)用安裝到iPhone 5之中。
對于假充電器的欺騙漏洞問題，蘋果目前還沒有發(fā)表相關(guān)的評(píng)論意見。但是，喬治亞理工大學(xué)的科研人員表示，他們已經(jīng)與蘋果就此事宜進(jìn)行了溝通。最終的結(jié)果可能是，研究人員指出iOS 7測試版中包含一款新的“安全衛(wèi)士”——詢問用戶是否愿意將他們的手機(jī)連接到任何插入到其數(shù)據(jù)端口、而不是自動(dòng)開始共享數(shù)據(jù)的電腦之中，以此弄清用戶是否信任這種連接。
當(dāng)用戶的手機(jī)被接入任何嘗試建立數(shù)據(jù)連接的設(shè)備上時(shí)，新的警告信息就會(huì)提示：“你信任目前連接的計(jì)算機(jī)嗎？信任這臺(tái)計(jì)算機(jī)就將允許它完全接觸你的設(shè)備及你設(shè)備上的所有數(shù)據(jù)。”當(dāng)然，如果這臺(tái)連接的設(shè)備是一種帶有惡意程序的充電器，那用戶當(dāng)然要回答“不”。
(完)