小心维修店在你的手机中植入秘密芯片

腾讯数码讯 有些人的手机触摸屏坏了,或者出了其它问题,现在这些人有了新的问题要考虑:维修店更换组件之后,组件里面可能包含秘密硬件,它可以入侵设备。

641 (1).jpg

最近出现一份研究报告,告诉我们给手机替换屏幕之后(比如给华为6P、LG G Pad 7.0更换屏幕),组件可以秘密窃取键盘输入信息,知道输入的图案是怎样的,还可以安装恶意App,拍照并发送给攻击者。

设有陷阱的屏幕利用操作系统漏洞绕过密码安全保护机制,这种保护技术装在手机内。恶意组件的成本不到10美元,可以大规模生产,相当容易。

对于大多人来说,最让人害怕的是陷阱组件与安全组件很难区分,即使是服务技术员,很多也难以察觉。除非拆解过硬件的人维修手机,对组件进行检查,否则很难发现。

在2017年Usenix WOOT研讨会(Usenix Workshop on Offensive Technologies)上,研究人员公布了研究报告。

不论是iOS还是Android操作系统,软件驱动都受到了设备制造商的严密保护,它们存在于“可信边界”(trust boundary)之内。工厂安装的硬件可以与驱动通信,只要制造商对供应链有着很强的安全控制,工厂硬件就是可信的。当手机送给第三方维修店维修,安全模式就会被破坏,没有任何有效的方式能保证替代组件不被修改。

Ben-Gurion大学的研究人员在报告中指出:“在消费电子世界,恶意外设的存在不容忽视。正如报告指出的,用恶意外设发起攻击是可行的、可扩展的,大多侦测技术很难发现。如果敌方有足够的动机,完全可以针对特定目标发起大规模攻击。系统设计师应该考虑将替换组件放在手机可信范围之外,根据相应情况设计防护方案。”

延伸阅读:

    无相关信息
标签:

上一篇:94万部手机被黑客遥控变成肉鸡:帮公众号刷粉牟利

下一篇:返回列表