据国外媒体报道,本周三(9/19)在阿姆斯特丹举行的黑客竞赛Mobile Pwn2Own中,英国资讯安全公司MWR InfoSecurity利用近场通讯(NFC)技术及三星Galaxy S3的两个漏洞成功入侵Android,并获得三万美元的奖金。 该团队利用NFC技术传输一个档案到S3手机,进而取得手机的控制权,几乎手机的所有功能都能使用,而整个入侵的过程都在背景进行,用户无法察觉任何异样。 研究人员瞄准一款在三星Galaxy S2、S3及宏达电(HTC)部分机型出场预载的文件浏览软件,该软件会自动开启手机接收到的档案。因此入侵的手法并不只限于NFC,网页下载、电子邮件夹带附件等传输途径都可以进行攻击。] 该团队表示,他们使用NFC进行攻击,是因为NFC必须非常靠近才能使用,因此非常有针对性。他们利用NCF传输一个连结,然后让手机通过Wi-Fi下载整个恶意软件。 根据大会表示,这些奖金必须等到该团队公布详细数据之后才会发放。MWR InfoSecurity已经在公司网站公布部分数据,显示此次入侵共使用到两个漏洞,研究人员在软件中触发第一个漏洞185次,以降低手机对该软件的限制,第二个漏洞则可以提升软件的权限,破坏应用软件的沙箱模块。 今年七月举办的黑帽大会中,Accuvant实验室首席顾问Charlie Miller使用Android操作系统中的一个漏洞,让手机通过NFC读取并自动开启一个网址而加载恶意软件。Google已经在Android 4.0中修复该漏洞,但目前还有将近四分之三的Android设备还未升级至4.0或更新版本。 该项黑客竞赛是资讯安全大会EuSecWest Conference的一部分,除了三星Galaxy S3遭侵入之外,荷兰另一个团队则是利用Webkit的漏洞成功入侵Apple的iPhone 4S,可以把整个手机的照片、联络人清单等数据上传到服务器,一样赢得三万美元的奖金。该团队表示,包含Safari、Windows Messenger、iTunes等软件都使用到Webkit的部份功能,而且最新版的iOS 6也含有此漏洞。 编译: 中文IT资讯站 |
