上市剛剛滿月的iPhone 12 Pro在杭州完成全球首次破解,白帽黑客成功讀取了一部加密手機中存儲的地理位置信息、賬户密碼信息和運動健康信息等核心隱私信息。
這是昨天在杭州舉行的第20屆中國國際軟件博覽會“補天杯”破解大賽上發生的一幕。除了iPhone 12 Pro,目前正在普及的全套智能家居、共享單車、智能跑車,以及新基建場景下的智能路燈、工業遙控器、企業級防火牆等數字設備,均被成功破解,這也為數字化、智能化時代的網絡安全敲響了警鐘。 iPhone 12首遭破解 記者在破解大賽現場看到,來自奇安信的技術團隊對一台加密的iPhone 12 Pro進行破解。 蘋果公司在iPhone 12的發佈會上聲稱,iPhone 12系列手機基於最新iOS 14系統,採用多種高級防禦機制,大大提高了iOS攻擊難度,使得越獄難上加難。 但白帽黑客通過一台筆記本電腦連接手機後,只用了不到兩分鐘,就成功對其進行了破解。手機激活以來到過的所有地點清清楚楚顯示在地圖上,精確到小區、時間等,甚至能以不同顏色顯示該地點的到訪頻率。 此外,在該手機上登錄使用過的所有賬户和密碼也悉數被破解,用户在微信運動和蘋果健康等平台產生的各種運動、健康數據,如體重、心率、血壓等,也都完整展示了出來。 進行破解的白帽黑客介紹,這項技術實際上是利用iOS 14系統的漏洞,獲取手機最高權限的底層數據,也就是俗稱的“越獄”,不過實際操作起來並非現場演示這麼簡單,且不對外的,而是在必要時用於幫助公檢司法取證,普通用户不必過於擔心。但它證明了手機“越獄”的風險非常大,不建議嘗試。 他説,除了“越獄”破解,手機時時刻刻也都在傳輸信息,包括聯網和脱機狀態下,有的用户以為不打開某個App就不會泄露數據,其實這是誤解,因為相當多的App會要求用户開放相關權限才能使用,這也是近年來監管部門持續加大打擊App不正常獲取權限行為的重要原因之一。 他提醒手機用户,黑客攻擊已經成為全世界公害,安全攻防一直在激烈交鋒。智能設備越來越複雜,漏洞無處不在,除了嚴格管理手機權限,及時更新安全補丁,妥善保管好手機也是非常重要的自保方式,儘量不要讓手機離開自己的視線,有些高水平黑客只要一兩分鐘就能破解一台手機。 智能設備安全漏洞無處不在 在隨後的破解項目中,來自Redbud團隊先後對某品牌的全生態智能家居和智能網聯車發起破解挑戰,結果都獲得了成功。在全生態智能家居的攻擊過程中,攻擊者利用智能音箱漏洞獲得了控制權,進而利用語音控制缺陷,實現音箱對全生態智能家居設備的完全控制,包括了燈光、電視、空調、窗簾、掃地機器人等。在對智能網聯車破解環節,攻擊者通過硬件和雲端漏洞,遠程拿到行車權限,開走了汽車。白帽黑客稱,現在智能網聯車都由平台控制,黑客順着平台還能控制全部在線車輛。也就是説,即使車鑰匙放在家裏,汽車也有可能被別人開走。 在本次破解大會上,共享單車、共享電動車、通知路燈、工業遙控器等聯網設備也都被成功破解。 據瞭解,“補天杯”破解大賽是以賽代練的形式,號召全國範圍內的企業、高校、民間的極客、白帽黑客、專家對新基建、智能交通、智能終端、智能家居等領域的智能設備、軟件存在的漏洞及網絡風險進行破解挑戰,以比賽競技的方式發現智能設備、軟件存在的安全問題,引起政府、企業廠商對網絡安全的重視,提升其安全能力,同時培養選拔網絡安全人才,提升全民網絡安全意識,為數字化、智能化時代的安全保駕護航。 | 
|
