Video: Кристофер Согоян: Правительственная слежка — это только начало (Lokakuu 2024)
Tämän vuoden tulevassa Black Hat -konferenssissa erityisesti yhden puheen tiivistelmä on kiinnittänyt ihmisten silmät. Siinä tutkijat sanovat demonstroivansa vaarattoman näköisen julkisen latausaseman, joka pystyy tarttumaan iOS-laitteesi hallintaan.
Andbes Greenberg Forbesissa kiinnitti ensin huomionsa seuraavaan esitykseen, jonka otsikko on "Mactans: Haittaohjelmien injektio iOS-laitteeseen haitallisten laturien kautta". Kirjailijat Billy Lau, Yeongjin Jang ja Chengyu Song kirjoittavat, että heidän ilkeä laturi, nimeltään "Mactans", on rakennettu pois BeagleBoard, kolmen tuuman neliömäinen yhden kortin tietokone Texas Instrumentsilta. Tämä ei sovi pieneen Applen tarjoamaan vaihtovirtasovittimeen, mutta tutkijat kirjoittavat, että heidän prototyyppinsä tehtiin "rajoitetulla ajalla ja pienellä budjetilla". He viittaavat myös siihen, että omistautuneempi hyökkääjä voisi tehdä vielä paremmin.
"Tutkimme, missä määrin turvallisuusuhkia otettiin huomioon suorittaessa päivittäisiä toimintoja, kuten laitteen lataamista", kirjoittavat tutkijat. "Tulokset olivat hälyttäviä: iOS: n puolustusmekanismien lukuisuudesta huolimatta injektoimme onnistuneesti mielivaltaisia ohjelmistoja nykyisen sukupolven Apple-laitteisiin, joissa on uusin käyttöjärjestelmä (OS)."
Hyökkäyksen on ilmoitettu vaikuttavan kaikkiin iOS-käyttäjiin, eikä se vaadi uhralta vankilaan murrettua laitetta, ja se voidaan suorittaa alle minuutissa. Sen lisäksi, että tutkijat kuvaavat, kuinka ohittaa Applen sisäänrakennettu tietoturva, tutkijat kirjoittavat myös kartoittaneen keinon käynnissä olevan haittaohjelman helpottamiseksi. "Varmistaaksemme siitä johtuvan tartunnan jatkuvuuden, osoitamme, kuinka hyökkääjä voi piilottaa ohjelmistonsa samalla tavalla kuin Apple piilottaa omat sisäänrakennetut sovelluksensa", tutkijat kertoivat.
Hiipiminen elektronien kanssa
Tämä ei ole ensimmäinen kerta, kun julkiset latausasemat on valittu mahdolliseksi vaaroksi. Krebs on Security huomautti, että Aires Security perusti julkisen latausaseman DefCon 2011 -yritykseen vastaavaa tarkoitusta varten. Kun mitään puhelinta ei ollut kytketty, siinä näkyi kutsuva sininen merkki. Kun joku oli kytketty puhelimeen, se muuttui kirkkaan punaiseksi varoitukseksi.
Aires Security -latausasema oli enemmän konseptin todiste - ja siinä hyvänlaatuinen. Sen sijaan, että varastaisi tietojasi tai asentaisi haittaohjelmia, se välähti sen sijaan. "Sinun ei pidä luottaa älypuhelimellasi oleviin julkisiin kioskeihin. Tietoja voidaan hakea tai ladata ilman suostumustasi", sanoi kioskissa oleva merkki. "Onneksi sinulle tämä asema on kulkenut eettiseen suuntaan ja tietosi ovat turvassa. Nauti ilmaisesta veloituksesta!"
Kannettavien tietokoneiden paristoja on myös mainittu mahdollisena hyökkäysvektorina. Myös vuonna 2011 turvallisuustutkija Charlie Miller esitteli tapauksensa kohdentaa akun mikrokontrollereita Applen kannettavissa tietokoneissa. Miller uskoo, että akun laiteohjelmisto voidaan kirjoittaa uudelleen ylikuumenemaan ja fyysisesti vahingoittamaan kannettavaa tietokonetta, tai jopa käyttää vektorina haitallisen koodin suorittamiseen tietokoneessa.
Onneksi kaikki nämä väitteet esitetään akateemisessa yhteydessä. Mactans-tutkijat ovat kuulemma olleet yhteydessä Appleen työhönsä, vaikka heillä ei ole vielä (yllättävää) vielä kuulla. Voit kuitenkin luottaa omaan latauslaitteeseesi. Varmuuden vuoksi.
