iPhone爆无法修复史诗级漏洞 专家教四招自保好习惯

【美博翻墙2019.11.18】据国外媒体报道:KPMG安侯建业数码科技安全团队谢昀泽执行副总表示,近日有科技社群热烈讨论苹果手机爆发“checkm8”资安漏洞,众多iPhone使用者皆受害,苹果的手机硬件漏洞遭破解,并呼吁重要人士要更换或升级自己持有的苹果手机,否则手机内的敏感资料或隐私,可能被有心黑客窃取。

谢昀泽表示,checkm8资安漏洞不仅遍及众多旧版iPhone,还可绕过手机帐密、指纹与人脸辨识验证,直接取用手机内资料,除非更换硬件,否则更无法透过软件升级来直接修补。

本次被命名为checkm8的苹果手机漏洞,在资安界被誉为“史诗级技术”的震撼发现,因为其有下列三项过去手机技术漏洞罕见的“三无”特色,包括:
1、无密码攻击,可绕过苹果手机认证的帐密、指纹与人脸辨识验证,直接取用手机内资料,不需要使用传统社交工程骗取密码,或进行其他远距攻击。
2、无软件更新,针对存在于手机CPU芯片内部,在开机时最先执行的只读内存(Bootrom),并非传统撬开iOS或APP。除非更换硬件,否则无法透过软件升级来直接修补。
3、无特定版本,机乎所有热门苹果手机、平板、手表、音箱皆受到波及(较新硬件的iphone XS、iPhone11系列除外)。

谢昀泽表示,虽然checkm8遍布诸多手机,但有心人需要实际窃取目标实体手机才能攻击,还要再实机连通特定的电脑设备,骇入成本很高,攻击效益太低,所以发生在一般使用者手机上的机率不高,即便手机被入侵且被成功安装后门程序,目前最新的iOS在手机重开后,也会有相关安全机制,可以抑制被恶意植入的程序运行。

面对这个罕见漏洞,谢昀泽表示,黑客执行成本很高,攻击效益太低,一般使用者被攻击的机率不高,不需要过度恐慌。他解释,有心人需要实际窃取特定人物的实体手机,取得手机后还要再实机连通特定的电脑设备,进入手机的开发韧体升级(DFU)模式进行攻击。且攻击程序在每一次手机重新启动时,都需重新取得实体手机重新设置。过程繁琐且高门槛,缺乏规模化、自动化与直接财务诱因,对恶意黑客而言太“厚工”(费工)。即使手机被入侵且被成功安装后门程序,目前最新的iOS在手机重开后,也会有相关安全机制。

鉴于checkm8资安漏洞的几种特征,谢昀泽建议,建议养成4个好习惯,“有个好习惯,远比有只好手机更安全”。苹果使用者其实只要做到四点预防,就能有效减缓此一事件所产生的影响:

第一,是养成定期重新启动手机的习惯,避免长期不关机,增加有心人士攻击的成本。

第二,有心人士必须要取得实体手机才能攻击,因此养成手机不离身的习惯,或随时置于安全区域,便可杜绝相关骇入攻击。

第三,若手机不慎遗失,可考虑启动远端资料清除机制,以防第三人窥视。谢昀泽表示,可运用苹果内键的“寻找”app,然后点一下“装置”标签页,选取要远端清除的装置后,向下滚动并选择“清除此装置”。

第四,手机硬件需要交给厂商维修前,应养成事先备份资料的习惯,并完整清除手机上的所有资料。

谢昀泽表示,如果没有购机成本限制,不嫌换机麻烦且有资料遗失风险,手机内又存有机敏资料,当然也可以考虑直接升级或更换手机,只是未来手机的各种软硬件漏洞被揭露将越来越多,对所有使用者来说,有个好习惯,远比有只好手机更安全,一般手机使用者不需要过度恐慌。

原文链接:https://allinfa.com/iphone-unrecoverable-epic-vulnerability.html
原文标题:iPhone爆无法修复史诗级漏洞 专家教四招自保好习惯 - 美博园
※ 除声明转载,美博园文章均为"原创",软件版权归原作者,转载请以上面超链接注明来源!

本文TinyURL短网址: http://tinyurl.com/run8gb3

本文首发: 2019年11月18日. 更新于:2019年11月18日.

如喜欢本站请订阅:点此【RSS订阅真相网】

这里是你留言评论的地方

2 + 0 =

【您可以使用 Ctrl+Enter 快速发送】

Copyright © 2007 - 2019 , Design by 美博园. 版权所有. 若有版权问题请留言通知本站管理员. 【回到顶部】