ISC大会现场解析恶意充电器60秒黑掉未越狱iPhone

发布时间：2020-02-14 03:19:12 阅读：次来源：花菜类厂家

给iPhone充电，输入的可能不止是电能，还可能是恶意程序。在23日召开的中国互联网安全大会(isc)的移动安全论坛上，美国佐治亚理工学院的安全专家宋程昱现场解析，如何用一台“恶意充电器”在60秒内黑掉iPhone。当然，他也同时针对这种入侵手法提出了有效的应对措施。

宋程昱介绍，这款恶意充电器名为“Mactans”，又被称为“黑寡妇”，根本无需越狱，只要与iPhone连接，就能够在用户毫不知情的情况下，60秒内完全侵入手机系统并秘密安装恶意软件，另外它还会自动隐藏，偷窥手机屏幕，窃取应用密码甚至用手机网银进行支付，做很多普通应用无法完成的恶意操作。

对于恶意充电器的攻击步骤，宋程昱做了进一步阐述。他指出，将苹果手机与被“加工”后的充电器相连，不到一分钟，黑客就能毫无征兆地获取设备信息进行配对，并安装针对该设备的描述文件，进而为手机安装隐藏的恶意应用，并在后台悄悄运行，而这一切用户是完全感觉不到的。

最后，宋程昱与参会者就整个入侵过程的安全问题进行了交流探讨。宋程昱认为，解决恶意充电器入侵要从五个方面入手：询问用户主机是否可信(iOS 7 已集成)、添加更多的图标来指示不同的状态、添加更多的机制以防止 provisioning profile 的滥用、降低 USB 接口的默认权限、限制对隐藏属性的设置。另外，提高苹果的应用审查和恶意审批机制也是有效的防范措施。

据了解，2013年以来，苹果iOS系统漏洞接连曝光，包括2013年2月发现的“绕过锁屏密码”漏洞、3月的“重置用户密码”漏洞、5月的“恢复用户已删短信”漏洞以及本次发现的iOS6危险字符串漏洞。iOS安全也因此成为业内焦点。