1. 首页
  2. 移动互联网

顶级骇客汇聚 60秒“黑”掉一台iPhone

  全球近百位顶级骇客、极客、安全专家昨天汇聚北京,为360主办的2013中国互联网安全大会(ISC)站台,上演一场无声的攻防与拆招。


  在大会现场,有技术大牛花60秒就“黑”掉一台iPhone,国外的“越狱大神”则向苹果iOS6.1.3发起冲锋。上述大佬坦言,随着虚拟化、大数据、云应用、byod及可穿戴智能设备的普及,互联网信息安全正面临着更多新的挑战,近期曝光的斯诺登“棱镜门”事件更将网民的负面情绪推向巅峰,成为一个亟待解决的课题。


  充电器60秒“黑”掉iPhone


  手机充电器也会让你的iPhone中毒吗,这并不是“技术小白”闹的笑话,而是“大牛”的现实战绩。ISC,来自美国佐治亚理工(GIT)的宋程昱将在移动安全论坛上现场演示用“恶意充电器”60秒黑掉iPhone,将iPhone 中的Facebook替换为了山寨恶意软件。宋程昱演示中所使用的“恶意充电器”名为“Mactans”,中文名“黑寡妇”。它可在用户不知情下,偷偷为手机安装任意应用并将其隐藏,偷窥手机屏幕,窃取应用密码甚至完全操控手机,令用户瞠目结舌。


  据了解,由于iOS受Apple完全控制,相比Android系统,几乎没有针对iOS的恶意软件,未越狱的iOS设备通常更会被认为是安全的。但是宋程昱所讲的恶意充电器,不仅不需要越狱,而且只需与手机连接即可完成攻击,使危险程度大大提升。在一只手机充电器就能黑掉iPhone的情况下,上述安全人士认为,公共设施已成为黑客攻击的目标,包括私自架设WiFi 钓鱼盗取网银密码等,大会上演示的这种“恶意充电器”,如被黑客利用于公共充电器,则会对大量民众造成威胁。


  360董事长周鸿祎坦言,现今绝大部分公司都允许员工使用自己的移动设备进公司。所有的手机都具备Wi-Fi的能力,具备3G上网能力,手机相当于在原来严密保护的企业边界打开了无数缺口,企业移动安全提上了日程。


  “越狱大神”现场挑战iOS


  在本届大会上,国际顶级黑客、有苹果“越狱大神”之称的 Stefan Esser (i0n1c)也将重出江湖,于昨天下午对一直“越狱未遂”的iOS6.1.3系统发起挑战。


  i0n1c不久前就通过个人Twitter透露,他掌握了苹果iOS6.1.3系统的越狱工具,将在北京披露,而他在大会上的主要演讲议题是《iOS6漏洞利用与iOS7安全改进》,不少国内安全技术人员均前往现场一睹“大神”风采。


  据了解,i0n1c的真实身份是德国资深安全专家,曾连续成功破解iOS 4.3.x、iOS5.1和5.1.1,被果粉们奉为“越狱大神”。他的惊人表演是,在苹果放出iOS5.1.1固件更新不到12小时内,iOn1c就公布在New iPad上成功越狱图片。但在此之后,iOn1c宣布不再公布越狱工具,并淡出越狱圈。


  事实上,苹果越狱被大众熟知之前,iOn1c还有着“PHP安全第一人”之称。早在2003年,他全球率先实现利用缓冲区溢位漏洞,将Linux直接boot到全新完好的XBOX内,并成功开机。最近数年,iOn1c的研究重心逐渐转向iOS内核和iPhone安全领域上,一些著作更被iOS安全研究者视为必不可少的宝典。


  “高级黑”目光瞄向社交网络


  昨天让不少与会大牛在意的是,除了木马、钓鱼等简单粗暴的方式外,不少高级黑客将目光转向社交网络,并采用更多的高级APT形式来进行攻击。


  “在我们发布个人状态和新闻消息时,犯罪分子可能正在微博、人人网、微信、淘宝、京东上面确认你的行踪。没错,你的一举一动都可能被人关注着。”上述安全专家坦言。


  据了解,以往的蠕虫传播往往是面向随机IP或随机账户,有社交网络之后,犯罪分子可以更精确锁定目标,技术更强的黑客则能通过窃取用户云端服务商的数据库来获得用户的个人信息和密码,冒充用户来对不知情的用户好友进行诈骗。此外,无论是在机场还是在咖啡馆,无数的恶意AP 可以让准备用WiFi上网的用户毫无察觉地交出密码,还有一些高级APT 形式的攻击方式则更加令人难以防范。安全人士举例称,之前网上出现过一篇名叫《小心闺蜜寄来的手机》的文章,讲到了一个技术公司的女员工收到闺蜜寄来内置间谍软件的新手机,能够在用户毫无防备使用过程中,不幸将公司机密泄露。


  “这些攻击都不再单纯是技术上的博弈,而是社会工程学和骇客行为的邪恶融合,在企业间的竞争中屡见不鲜。如果说传统威胁是犯罪分子PK 电脑的话,新兴的威胁已是犯罪分子直接来PK受害者。”上述安全人士称,毫不夸张地说,从社交身份窃取到网购欺诈,目前流行的互联网威胁已进入“贴身肉搏”时代。

发表评论

登录后才能评论