一组美国安全研究员声称他们发现了一个苹果iPhone手机的漏洞,这一漏洞能够为恶意代码黑客们敞开大门,使他们能够远程控制这款智能电话。
当以“DVD Jon”而为人们熟知的Jon Lech Johansen正忙于破解iPhone激活码的时候,一队独立安全评估机构的工作人员开始着手研究对于一个远程的攻击者来说,利用存储于这种新型手机里的私人信息而造成危害的困难程度有多大。
“用了不到两个星期的部分工作时间,我们已经成功的发现了一个漏洞……并对能够将用户的iPhone里存储的文件传送给一个远程的攻击者的概念验证型漏洞做了一份需求分析报告。”
Safari(苹果计算机浏览器)网络漏洞
根据研究人员研究表明,漏洞会经由iPhone手机上的Safari浏览器打开的恶意网页进行传送。安全研究员称,攻击者有好几种载体可用来选择以使一个受害者打开这样的恶意网页。这些载体包括一个由攻击者控制的无线接入点,某个网站的论坛,或者一个由电子邮件或SMS发送的超级链接。
安全研究员称,当使用Safari浏览器版本的iPhone手机打开一个恶意网页时,漏洞里嵌入的任意恶意代码都会在管理员权限下运行。在概念验证型漏洞中,恶意代码读取iPhone手机中的SMS短信息日志,地址簿,通讯记录,和语音信箱数据,然后它便将这些信息传送给攻击者。
研究员们称,他们发现的这一漏洞样本能够被恶意代码替换并能做到iPhone手机能够做的一切事情,举例来说,它能把用户的电子邮件密码发送给攻击者,向收费服务发送用户的注册信息,或者录制能够远程传送的音频。
黑客行为被称为“有趣”
一位在SPI Dynamics工作的安全宣传员Michael Sutton称这种黑客攻击“很有趣。”他解释说,这说明了客户端攻击的严重型,特别是现在的客户端设备的功能变得越来越强大,它们所包含的敏感数据量有了前所未有的增加。
“手机不再只是一部手机。它还是一台计算机,就像放在你的办公桌的那台一样,拥有着许多同样的机密数据,”Sutton说。 “这样的话,它必须以同样的安全措施加以保护,但不幸的是,迄今为止我们还没有看到这样的行动。”
对于这些想要保护自己免受这样的漏洞或未来其他类似漏洞威胁的iPhone手机使用者,独立安全评估机构的CharlesMiller博士和他的同事们推荐了几个最好的措施,这些听起来也像是安全公司告诉PC使用者们的措施:只访问你信赖的网站,只使用你信任的无线保真网络,不要打开电子邮件里链接的网站。
微博帐号登录
内容互通,快速登录
QQ帐号登录
淘宝帐号登录
