在美國拉斯維加斯的黑帽黑客大會,有華裔研究員聯同兩名博士生展示自製的「蠱惑iPhone充電器」,能讓黑客在機主不知情下極速入侵手機,並窺看機主在手機輸入銀行密碼等私隱資料。蘋果公司已獲通知存在上述漏洞,並在最新作業系統iOS 7測試版中作修補,惟舊版本可能仍受威脅。
喬治亞理工大學研究員劉比利(音譯,Billy Lau)上周三出席黑帽大會,跟博士生張永振(音譯,Yeongjin Jang)和宋成佑(音譯,Chengyu Song),一同公布這款以3D打印的蠱惑充電器Mactans。當機主把Mactans接駁智能手機後,一分鐘內便會被暗中安裝木馬程式,再過八十秒左右,手機內原有的應用程式(app)便會被含惡意程式的假app取代,而機主依舊能繼續使用手機,渾然不覺已被入侵,在手機上的一舉一動全被監視。
劉比利及張永振早前示範,如何利用Mactans入侵iPhone。他們先在手機內換上社交網站facebook的假app,圖案及內容均幾可亂真,除了翻頁所需時間較長,其餘功能也運作正常。而黑客基本上可以把所有app掉包,銀行服務app也不例外,導致機密資料外洩。一旦機主關掉手機,木馬程式便會開始運作,大肆撥打電話。
劉比利指出,雖然Mactans的體積目前較大,但相信黑客可將之製造跟正版蘋果充電器一樣細小。他們又表示,今年五月得知能於黑客大會發表該報告後,便立即通知蘋果公司,獲對方邀請嘗試入侵iOS 7測試版。蘋果其後表示已修補漏洞,令Mactans無法入侵。
本報綜合報道