手機換個屏之后就被"黑"了?黑客:這事可以操作

發(fā)布: 2017-08-19 13:20 | 作者: | 來源: 網易科技報道 | 字體:       

相關專題: 芯片

(原標題:Secret chips in replacement parts can completely hijack your phone’s security)

網易科技訊 8月19日消息 據美國科技媒體網站Ars Technica報道,最新調查發(fā)現,手機換屏維修所更換的組件存在竊取信息的風險。

在最新的一次對安卓手機換屏調查中發(fā)現,存在非法鍵入信息和程序的情況。這種隱患屏幕會利用操作系統(tǒng)漏洞,繞過手機中的主安全保護系統(tǒng)。手機會被安裝惡意程序,并將偷拍照片以郵件的方式傳給黑客。最可怕的是,這些隱患更具隱蔽性,很多維修技術員難以發(fā)現,除非是有組件安裝背景的人將維修手機拆開并檢查。

該調查出現在本周2017 USENIX黑客技術研討會的一份文件中,旨在強調通常被忽視的智能手機維修安全風險。無論是安卓還是iOS系統(tǒng)的手機制造商都在被調查研究之列,而被更換的組件是在設備“信任邊界”以內。即使制造商提供了安全保護,但換屏期間仍存在的惡意組件對驅動程序的入侵,并被認定為可信。手機一旦被送入第三方維修點,其安全模型則面臨被攻破的風險,畢竟沒有可靠方式保證維修程序未被篡改。

來自以色列內蓋夫本?古里安大學(Ben-Gurion University of the Negev)的研究者寫道,“消費性電子產品潛在的外部惡意攻擊風險值得重視。正如報告顯示,電子產品被竊聽存在可能性、擴展性和隱蔽性。很容易被不法分子加以大規(guī)模利用或針對性攻擊。系統(tǒng)設計者應考慮將更換組件設立在手機信任邊界以外,并針對性地設計防御程序”。

報道稱,實驗中,研究者在一塊兒正常手機屏幕上嵌入入侵芯片,篡改通信主線,模擬兩個終端間的惡意集成電路,監(jiān)視或修改終端通信。

而入侵芯片中的代碼可以在用戶不授權的情況下私自進行多項入侵。例如,用于實驗的芯片可以解鎖安全模式和鍵盤的輸入信息、私自照相并將數據傳給黑客、替換用戶常用網址為釣魚網址并肆意安裝手機軟件。進階版的攻擊包括利用操作系統(tǒng)內核漏洞。為了能保證隱蔽性,惡意程序還會使手機關機黑屏。

為了能將惡意指令傳達到驅動程序和觸摸屏,研究人員借助了ATmega328 Arduino和STM32L432開源微處理器,并表示其它微處理器同樣能達到效果。

報道稱,雖然研究人員是用安卓系統(tǒng)做的研究,但不保證iOS系統(tǒng)不會存在此類問題。這類攻擊是低成本的、不易察覺并有大規(guī),F身的可能。而維修技術人員自身無法檢測出惡意組件則是尤其值得關注的部分。

國外網友們紛紛表示有過類似體驗,并發(fā)出“這正是完善相關維修法律時刻”的呼吁。(編譯:Alyssa)


微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網白皮書
  • 4、回復“LTBPS”免費領取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統(tǒng)架構1
    		•

    本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息