手機(jī)換個(gè)屏之后就被"黑"了?黑客:這事可以操作

發(fā)布: 2017-08-19 13:20 | 作者: | 來(lái)源: 網(wǎng)易科技報(bào)道 | 字體:       

相關(guān)專(zhuān)題: 芯片

(原標(biāo)題:Secret chips in replacement parts can completely hijack your phone’s security)

網(wǎng)易科技訊 8月19日消息 據(jù)美國(guó)科技媒體網(wǎng)站Ars Technica報(bào)道,最新調(diào)查發(fā)現(xiàn),手機(jī)換屏維修所更換的組件存在竊取信息的風(fēng)險(xiǎn)。

在最新的一次對(duì)安卓手機(jī)換屏調(diào)查中發(fā)現(xiàn),存在非法鍵入信息和程序的情況。這種隱患屏幕會(huì)利用操作系統(tǒng)漏洞,繞過(guò)手機(jī)中的主安全保護(hù)系統(tǒng)。手機(jī)會(huì)被安裝惡意程序,并將偷拍照片以郵件的方式傳給黑客。最可怕的是,這些隱患更具隱蔽性,很多維修技術(shù)員難以發(fā)現(xiàn),除非是有組件安裝背景的人將維修手機(jī)拆開(kāi)并檢查。

該調(diào)查出現(xiàn)在本周2017 USENIX黑客技術(shù)研討會(huì)的一份文件中,旨在強(qiáng)調(diào)通常被忽視的智能手機(jī)維修安全風(fēng)險(xiǎn)。無(wú)論是安卓還是iOS系統(tǒng)的手機(jī)制造商都在被調(diào)查研究之列,而被更換的組件是在設(shè)備“信任邊界”以內(nèi)。即使制造商提供了安全保護(hù),但換屏期間仍存在的惡意組件對(duì)驅(qū)動(dòng)程序的入侵,并被認(rèn)定為可信。手機(jī)一旦被送入第三方維修點(diǎn),其安全模型則面臨被攻破的風(fēng)險(xiǎn),畢竟沒(méi)有可靠方式保證維修程序未被篡改。

來(lái)自以色列內(nèi)蓋夫本?古里安大學(xué)(Ben-Gurion University of the Negev)的研究者寫(xiě)道,“消費(fèi)性電子產(chǎn)品潛在的外部惡意攻擊風(fēng)險(xiǎn)值得重視。正如報(bào)告顯示,電子產(chǎn)品被竊聽(tīng)存在可能性、擴(kuò)展性和隱蔽性。很容易被不法分子加以大規(guī)模利用或針對(duì)性攻擊。系統(tǒng)設(shè)計(jì)者應(yīng)考慮將更換組件設(shè)立在手機(jī)信任邊界以外,并針對(duì)性地設(shè)計(jì)防御程序”。

報(bào)道稱(chēng),實(shí)驗(yàn)中,研究者在一塊兒正常手機(jī)屏幕上嵌入入侵芯片,篡改通信主線,模擬兩個(gè)終端間的惡意集成電路,監(jiān)視或修改終端通信。

而入侵芯片中的代碼可以在用戶不授權(quán)的情況下私自進(jìn)行多項(xiàng)入侵。例如,用于實(shí)驗(yàn)的芯片可以解鎖安全模式和鍵盤(pán)的輸入信息、私自照相并將數(shù)據(jù)傳給黑客、替換用戶常用網(wǎng)址為釣魚(yú)網(wǎng)址并肆意安裝手機(jī)軟件。進(jìn)階版的攻擊包括利用操作系統(tǒng)內(nèi)核漏洞。為了能保證隱蔽性,惡意程序還會(huì)使手機(jī)關(guān)機(jī)黑屏。

為了能將惡意指令傳達(dá)到驅(qū)動(dòng)程序和觸摸屏,研究人員借助了ATmega328 Arduino和STM32L432開(kāi)源微處理器,并表示其它微處理器同樣能達(dá)到效果。

報(bào)道稱(chēng),雖然研究人員是用安卓系統(tǒng)做的研究,但不保證iOS系統(tǒng)不會(huì)存在此類(lèi)問(wèn)題。這類(lèi)攻擊是低成本的、不易察覺(jué)并有大規(guī)模現(xiàn)身的可能。而維修技術(shù)人員自身無(wú)法檢測(cè)出惡意組件則是尤其值得關(guān)注的部分。

國(guó)外網(wǎng)友們紛紛表示有過(guò)類(lèi)似體驗(yàn),并發(fā)出“這正是完善相關(guān)維修法律時(shí)刻”的呼吁。(編譯:Alyssa)


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書(shū)
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書(shū)-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):6G至簡(jiǎn)無(wú)線接入網(wǎng)白皮書(shū)
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國(guó)聯(lián)通5G終端白皮書(shū)》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國(guó)電信5GNTN技術(shù)白皮書(shū)
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國(guó)移動(dòng)算力并網(wǎng)白皮書(shū)
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

    本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

      最新招聘信息