據(jù)外國媒體報道，蘋果在保護iOS應(yīng)用商店免遭惡意軟件攻擊方面，可謂費勁心機，而且密不透風，黑客的惡意軟件很難進入蘋果應(yīng)用商店。但是，蘋果最近卻面臨著一個新煩惱——黑客通過物理設(shè)備接入iOS設(shè)備的端口，利用假充電器來對蘋果設(shè)備發(fā)動攻擊。
日前，三名喬治亞理工學院的科技安全研究人員展示了一項試驗——利用一款帶有惡意程序的假充電器來攻擊iPhone 5，這款假充電器是基于一款價值45美元的三平方英寸大小的BeagleBoard單板計算機。研究人員將這款假充電器命名為“Mactans”，這款假充電器可以在被攻擊手機上悄悄地安裝惡意軟件，并在一分鐘之內(nèi)完全進入被攻擊的手機。
盡管研究人員已經(jīng)描述了Mactans的相關(guān)情況，但是，他們一直沒有展示這款假充電器是如何將惡意應(yīng)用安裝到蘋果鎖定的移動操作系統(tǒng)中的。事實表明，這種充電器的騙術(shù)就是利用蘋果開發(fā)者模式中的潛在安全漏洞來發(fā)動攻擊。在蘋果的開發(fā)者模式中，任何獲得開發(fā)者許可證的人都可以在注冊的蘋果設(shè)備上安裝定制軟件，因此，Mactans就可以解讀連接設(shè)備上的唯一設(shè)備識別碼（Unique Device Identifier，簡稱UDID），并在幾秒鐘的時間內(nèi)將此假充電器注冊成為開發(fā)者的測試設(shè)備，然后再利用其作為開發(fā)者設(shè)備的特權(quán)來安裝其惡意軟件。
這種假充電器會認真地刪除用戶的合法Facebook應(yīng)用，并重新安裝含有惡意軟件的假Facebook應(yīng)用，甚至還可以將此假Facebook應(yīng)用放在用戶手機屏幕上與真Facebook應(yīng)用相同的位置。
研究人員在展示過程中，展現(xiàn)出他們能夠?qū)㈥惻f的iPhone 5接入到假充電器上，在一分鐘之內(nèi)，又悄無聲息地將含有惡意程序的假Facebook應(yīng)用安裝到iPhone 5之中。
對于假充電器的欺騙漏洞問題，蘋果目前還沒有發(fā)表相關(guān)的評論意見。但是，喬治亞理工大學的科研人員表示，他們已經(jīng)與蘋果就此事宜進行了溝通。最終的結(jié)果可能是，研究人員指出iOS 7測試版中包含一款新的“安全衛(wèi)士”——詢問用戶是否愿意將他們的手機連接到任何插入到其數(shù)據(jù)端口、而不是自動開始共享數(shù)據(jù)的電腦之中，以此弄清用戶是否信任這種連接。
當用戶的手機被接入任何嘗試建立數(shù)據(jù)連接的設(shè)備上時，新的警告信息就會提示：“你信任目前連接的計算機嗎？信任這臺計算機就將允許它完全接觸你的設(shè)備及你設(shè)備上的所有數(shù)據(jù)。”當然，如果這臺連接的設(shè)備是一種帶有惡意程序的充電器，那用戶當然要回答“不”。
(完)