Mcafee發佈了一篇公共 iPhone 充電器可能隱藏惡意軟體
- 佐治亞理工學院的研究人員發現了一種利用公共 USB 充電器安裝惡意應用程式到 iPhone 的漏洞。
- 這種惡意應用程式可以在不經過 App Store 的情況下,偷偷地取得使用者的個人資料、監聽通話、甚至遠端控制裝置。
- 這種攻擊只有在使用者解鎖 iPhone 的時候才會被觸發,因此使用者應該避免在公共場所充電時解鎖裝置。
- 這種攻擊屬於自動執行型的威脅,是一種透過 USB 隨身碟傳播的常見手法。
- McAfee 的報告顯示,這種威脅在 2022 年至 2023 年間增加了一倍,並且持續上升。
- 使用者應該採取一些預防措施,例如避免使用公共充電站,使用可信任的充電器和電源線,以及定期更新裝置的安全性。
iPhone 是一種非常流行和普及的智慧型手機,它提供了許多方便和有趣的功能,讓使用者可以隨時隨地享受數位生活。然而,iPhone 也不是完美無缺的,它也有可能成為駭客和詐騙者的目標。最近,佐治亞理工學院的研究人員就發現了一種利用公共 USB 充電器安裝惡意應用程式到 iPhone 的漏洞,這種漏洞可以讓駭客在不經過 App Store 的情況下,偷偷地取得使用者的個人資料、監聽通話、甚至遠端控制裝置。
這種攻擊的原理是這樣的:駭客首先需要獲得 Apple 的安全性認證,才能夠測試他們的理論。因此,他們創造了一個看起來和 Facebook 一模一樣的應用程式,但是這個應用程式裡面藏有一段惡意的程式碼。接著,他們就開始建立一種可以將惡意應用程式部署到裝置上的方法,這就是公共 USB 充電器。這種惡意應用程式會在無知的受害者將他或她的 iPhone 插入一個連接到隱藏電腦的公共 USB 插座充電時被啟動和釋放,這個隱藏電腦很可能就在牆壁後面。如果 iPhone 被設定了密碼或是指紋解鎖,那麼這種攻擊就不會成功。但是,如果 iPhone 被解鎖了(即使只是一秒),那麼惡意應用程式就會被激活。一旦 iPhone 被解鎖,駭客就可以利用偽裝成 Facebook 的惡意應用程式(透過 USB 充電器下載到手機上)來遠端操作裝置,例如撥打電話、查看密碼、更改設定等等。
這種攻擊屬於自動執行型的威脅,是一種透過 USB 隨身碟傳播的常見手法。這種威脅非常危險,因為它們會在被感染的隨身碟插入電腦、平板或是 iPhone 的時候自動執行。McAfee 的《2023 年消費者手機威脅報告》發現,這種攻擊在 2022 年至 2023 年間增加了一倍,並且持續上升,這意味著使用者需要提高警覺和防範。
幸好,這種 iPhone 的威脅是由佐治亞理工學院的安全資訊中心的成員所製造的,目的是為了測試 Apple 裝置的一個潛在的弱點。然而,它也展示了一個非常真實的弱點,可能會被惡意的網路犯罪者利用。Apple 最近也加強了它的安全性功能,推出了一些更新,包括指紋啟動的鎖定軟體。但是,所有的前端安全性都無法保護使用者免受這種入侵,一旦他們的 Apple 裝置在插入這些危險的充電器時被解鎖。為了確保你不會成為 iPhone 被接管或是其他類型的 USB 惡意軟體的受害者,我建議你遵循以下的提示:
- 避免使用公共充電站。你永遠不知道那些 USB 插座後面是否有隱藏電腦或是其他惡意裝置。
- 使用可信任的充電器和電源線。如果你必須在公共場所充電,最好帶上自己的充電器和電源線,而不是使用別人提供的。
- 定期更新裝置的安全性。Apple 會不斷地修補它們發現的漏洞和弱點,因此你應該及時安裝最新版本的 iOS 和其他應用程式。