字體:小 中 大 | |
|
|
2012/09/21 18:59:11瀏覽298|回應0|推薦0 | |
該團隊利用NFC技術傳輸一個檔案到S3手機,進而取得手機的控制權,幾乎手機的所有功能都能使用,而整個入侵的過程都在背景進行,使用者無法察覺任何異樣。 周三(9/19)在阿姆斯特丹舉行的駭客競賽Mobile Pwn2Own中,英國資安公司MWR InfoSecurity利用近場通訊(NFC)技術及三星Galaxy S3的兩個漏洞成功入侵Android,並獲得三萬美元的獎金。 該團隊利用NFC技術傳輸一個檔案到S3手機,進而取得手機的控制權,幾乎手機的所有功能都能使用,而整個入侵的過程都在背景進行,使用者無法察覺任何異樣。 研究人員瞄準一款在三星Galaxy S2、S3及宏達電(HTC)部分機種出廠預載的文件瀏覽軟體,該軟體會自動開啟手機接收到的檔案。因此入侵的手法並不只限於NFC,網頁下載、電子郵件夾帶附件等傳輸途徑都可以進行攻擊。 該團隊表示,他們使用NFC進行攻擊,是因為NFC必須非常靠近才能使用,因此非常有針對性。他們利用NCF傳輸一個連結,然後讓手機透過Wi-Fi下載整個惡意軟體。 根據大會表示,這些獎金必須等到該團隊公布詳細資料之後才會發放。MWR InfoSecurity已經在公司網站公布部分資料,顯示此次入侵共使用到兩個漏洞,研究人員在軟體中觸發第一個漏洞185次,以降低手機對該軟體的限制,第二個漏洞則可以提昇軟體的權限,破壞應用軟體的沙箱模組。 今年七月舉辦的黑帽大會中,Accuvant實驗室首席顧問Charlie Miller使用Android作業系統中的一個漏洞,讓手機透過NFC讀取並自動開啟一個網址而載入惡意軟體。Google已經在Android 4.0中修復該漏洞,但目前還有將近四分之三的Android設備還未升級至4.0或更新版本。 該項駭客競賽是資安大會EuSecWest Conference的一部分,除了三星Galaxy S3遭侵入之外,荷蘭另一個團隊則是利用Webkit的漏洞成功入侵Apple的iPhone 4S,可以把整個手機的照片、聯絡人清單等資料上傳到伺服器,一樣贏得三萬美元的獎金。該團隊表示,包含Safari、Windows Messenger、iTunes等軟體都使用到Webkit的部份功能,而且最新版的iOS 6也含有此漏洞。(編譯/沈經) 資料來源: iThome 2012/9/20 |
|
( 不分類|不分類 ) |