域名預(yù)訂/競價，好“米”不錯過

給iPhone充電，輸入的可能不止是電能，還可能是惡意程序。在23日召開的中國互聯(lián)網(wǎng)安全大會(isc)的移動安全論壇上，美國佐治亞理工學(xué)院的安全專家宋程昱現(xiàn)場解析，如何用一臺“惡意充電器”在60秒內(nèi)黑掉iPhone。當然，他也同時針對這種入侵手法提出了有效的應(yīng)對措施。

宋程昱介紹，這款惡意充電器名為“Mactans”，又被稱為“黑寡婦”，根本無需越獄，只要與iPhone連接，就能夠在用戶毫不知情的情況下，60秒內(nèi)完全侵入手機系統(tǒng)并秘密安裝惡意軟件，另外它還會自動隱藏，偷窺手機屏幕，竊取應(yīng)用密碼甚至用手機網(wǎng)銀進行支付，做很多普通應(yīng)用無法完成的惡意操作。

對于惡意充電器的攻擊步驟，宋程昱做了進一步闡述。他指出，將蘋果手機與被“加工”后的充電器相連，不到一分鐘，黑客就能毫無征兆地獲取設(shè)備信息進行配對，并安裝針對該設(shè)備的描述文件，進而為手機安裝隱藏的惡意應(yīng)用，并在后臺悄悄運行，而這一切用戶是完全感覺不到的。

最后，宋程昱與參會者就整個入侵過程的安全問題進行了交流探討。宋程昱認為，解決惡意充電器入侵要從五個方面入手：詢問用戶主機是否可信(iOS 7 已集成)、添加更多的圖標來指示不同的狀態(tài)、添加更多的機制以防止 provisioning profile 的濫用、降低 USB 接口的默認權(quán)限、限制對隱藏屬性的設(shè)置。另外，提高蘋果的應(yīng)用審查和惡意審批機制也是有效的防范措施。

據(jù)了解，2013年以來，蘋果iOS系統(tǒng)漏洞接連曝光，包括2013年2月發(fā)現(xiàn)的“繞過鎖屏密碼”漏洞、3月的“重置用戶密碼”漏洞、5月的“恢復(fù)用戶已刪短信”漏洞以及本次發(fā)現(xiàn)的iOS6危險字符串漏洞。iOS安全也因此成為業(yè)內(nèi)焦點。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！