別讓你的iPhone離開視線!「蘋果史上最大漏洞」不用解鎖就被看光光…

2019-11-18 13:00

? 人氣

2018年9月12日,蘋果電腦舉行秋季發表會,蘋果執行長庫克介紹新款iPhone XS與iPhone XS Max。(美聯社)

2018年9月12日,蘋果電腦舉行秋季發表會,蘋果執行長庫克介紹新款iPhone XS與iPhone XS Max。(美聯社)

近日有科技社群熱烈討論,蘋果的手機硬體漏洞遭破解,並呼籲重要人士要更換或升級自己持有的蘋果手機,否則手機內的敏感資料或隱私,可能被有心駭客竊取的議題。

KPMG數位科技安全團隊謝昀澤執行副總表示,本次被命名為checkm8的蘋果手機漏洞,確實在資安界被譽為「史詩級技術」的震撼發現,因為其有下列三項過去手機技術漏洞罕見的「三無」特色:

1.     無密碼攻擊:可繞過蘋果手機認證的帳密、指紋與人臉辨識驗證,直接取用手機內資料

2.     無軟體更新:除非更換硬體,否則無法透過軟體升級來直接修補。

3.     無特定版本:只有最新版本的XR、XS以上到iPhone 11修復了漏洞。

日前即有網友使用名為checkra1n 的工具實測觸發這項極為嚴重的漏洞問題,並逐一列出以下步驟:

1. iPhone 6s DFU 重刷 iOS 13.2.2
2. 刷完之後不接電腦,設定好 iCloud、Find My iPhone、Touch ID、密碼
3. 下載一個 App Store 軟體並且進去 App 做一些操作
4. 手機接上電腦,不解鎖,進入 DFU 執行 checkra1n
5. 破解完成之後存取手機,下指令發現可以看到照片列表,但無法讀取(所以沒破解密碼可以直接讀取是錯的,在此更正)
6. 測試讀取 /var/mobile/Library/Preference 裡面內容,可以看到內容
7. 測試重新掛載根目錄,可以掛載並寫入內容

嘗試列出手機內的照片檔案成功(這是 iPhone 6s,有 Touch ID (SEP) 保護,未解鎖密碼,圖片來源:皮樂)
嘗試列出手機內的照片檔案成功(這是 iPhone 6s,有 Touch ID (SEP) 保護,未解鎖密碼,圖片來源:皮樂)

另該網友也補充注意事項:平常使用各種要插入 iPhone 的設備時,需要注意不要在手機上「信任」該裝置即可。

因為要被攻擊,手機必須進入一個叫「DFU 模式」的特殊模式,一般我們正常使用是不可能觸發 DFU 模式的,所以你仍然可以用別人的充電器、保護殼之類的,只要不讓其他人可以操作你的手機本身就不必擔心漏洞本身。但是一旦被攻擊者可以摸到你的手機,操作 DFU 模式的話,不管是不是用原廠線或者任何配件,一樣會被攻擊。此外,一旦你點了「信任」充電裝置,代表允許改裝置讀取你的資料,那這樣無論你用哪一台手機,不管有沒有漏洞,你的資料都是在危險威脅下的。

面對這類高技術門檻的攻擊,KPMG數位科技安全團隊謝昀澤執行副總表示,蘋果使用者其實只需要養成下列幾點「使用習慣」,就能有效減緩此一事件的影響:

1. 定期重新啟動手機,避免長期不關機

2. 手機盡量不離身,或應置於安全區域

3. 如手機遺失,可考慮啟動遠端資料清除機制,以防第三人窺視。以最新版的iOS 13為例,開啟新版「尋找」app,然後點一下「裝置」標籤頁,選取要遠端清除的裝置後,向下捲動並選擇「清除此裝置」

4. 手機硬體需要交給廠商維修前,應事先備份,並完整清除手機上的所有資料

那麼必須因此換一支新手機嗎?其實對所有使用者來說「有個好習慣,遠比有支好手機更安全」,所以一般手機使用者不需要過度恐慌。

資料來源:iPhone 史上最大資安危機,強烈呼籲受影響的各界重要人士立即更換你的手機(作者:皮樂)

加入《下班經濟學》粉絲團,給你更多財經資訊 

訂閱《下班經濟學》YouTube頻道,精彩節目不錯過

喜歡這篇文章嗎?

任婉鵑喝杯咖啡,

告訴他這篇文章寫得真棒!

來自贊助者的話
關鍵字:
風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

本週最多人贊助文章