摘要: 乔治理工学院(George Institute of Technology)安全研究人员团队刚刚发现了通过修改版充电器向iOS设备写入信息的方法。他们表示经过改良后的充电器可在接插iOS设备一分钟内上传任意数据至该设备中。研究人员说,所有iOS用户都存在这项风...
乔治理工学院(George Institute of Technology)安全研究人员团队刚刚发现了通过修改版充电器向iOS设备写入信息的方法。他们表示经过改良后的充电器可在接插iOS设备一分钟内上传任意数据至该设备中。研究人员说,所有iOS用户都存在这项风险,完成某些非法操作无需任何用户交互,黑客甚至能借此隐藏设备中的应用,使之不在应用列表中显示。
目前尚不清楚,这一问题是否可令充电器向iOS设备上传恶意代码,苹果的iOS设备默认情况下存在沙盒机制,仅允许安装和运行经过认证的应用,但或许仍有可能存在风险。
研究人员演示用的充电器比较大,是基于信用卡大小的小型Linux PC的BeagleBone设计完成,暂时似乎没有隐藏为iPhone和iPad充电器大小的的方法。整个上传代码的过程以及充电器本身将在7月份的黑帽安全大会(Black Hat security conference)上进行演示。研究人员将详细展示该USB设备如何绕过苹果的防御机制。(稿源:cnBeta)
游侠简评:
苹果的电源线和数据线是2in1的,理论上来说,若要在开启了调试模式的Android手机上进行此类攻击,也一样可以——因为安卓手机也是数据线、充电线2in1的。
简单点说:充电器扮演了电脑上USB口充电时的角色……当然,想让被安装的软件不在应用列表中显示,好像也不难……