上市刚刚满月的iPhone 12 Pro在杭州完成全球首次破解,白帽黑客成功读取了一部加密手机中存储的地理位置信息、账户密码信息和运动健康信息等核心隐私信息。
这是昨天在杭州举行的第20届中国国际软件博览会“补天杯”破解大赛上发生的一幕。除了iPhone 12 Pro,目前正在普及的全套智能家居、共享单车、智能跑车,以及新基建场景下的智能路灯、工业遥控器、企业级防火墙等数字设备,均被成功破解,这也为数字化、智能化时代的网络安全敲响了警钟。 iPhone 12首遭破解 记者在破解大赛现场看到,来自奇安信的技术团队对一台加密的iPhone 12 Pro进行破解。 苹果公司在iPhone 12的发布会上声称,iPhone 12系列手机基于最新iOS 14系统,采用多种高级防御机制,大大提高了iOS攻击难度,使得越狱难上加难。 但白帽黑客通过一台笔记本电脑连接手机后,只用了不到两分钟,就成功对其进行了破解。手机激活以来到过的所有地点清清楚楚显示在地图上,精确到小区、时间等,甚至能以不同颜色显示该地点的到访频率。 此外,在该手机上登录使用过的所有账户和密码也悉数被破解,用户在微信运动和苹果健康等平台产生的各种运动、健康数据,如体重、心率、血压等,也都完整展示了出来。 进行破解的白帽黑客介绍,这项技术实际上是利用iOS 14系统的漏洞,获取手机最高权限的底层数据,也就是俗称的“越狱”,不过实际操作起来并非现场演示这么简单,且不对外的,而是在必要时用于帮助公检司法取证,普通用户不必过于担心。但它证明了手机“越狱”的风险非常大,不建议尝试。 他说,除了“越狱”破解,手机时时刻刻也都在传输信息,包括联网和脱机状态下,有的用户以为不打开某个App就不会泄露数据,其实这是误解,因为相当多的App会要求用户开放相关权限才能使用,这也是近年来监管部门持续加大打击App不正常获取权限行为的重要原因之一。 他提醒手机用户,黑客攻击已经成为全世界公害,安全攻防一直在激烈交锋。智能设备越来越复杂,漏洞无处不在,除了严格管理手机权限,及时更新安全补丁,妥善保管好手机也是非常重要的自保方式,尽量不要让手机离开自己的视线,有些高水平黑客只要一两分钟就能破解一台手机。 智能设备安全漏洞无处不在 在随后的破解项目中,来自Redbud团队先后对某品牌的全生态智能家居和智能网联车发起破解挑战,结果都获得了成功。在全生态智能家居的攻击过程中,攻击者利用智能音箱漏洞获得了控制权,进而利用语音控制缺陷,实现音箱对全生态智能家居设备的完全控制,包括了灯光、电视、空调、窗帘、扫地机器人等。在对智能网联车破解环节,攻击者通过硬件和云端漏洞,远程拿到行车权限,开走了汽车。白帽黑客称,现在智能网联车都由平台控制,黑客顺着平台还能控制全部在线车辆。也就是说,即使车钥匙放在家里,汽车也有可能被别人开走。 在本次破解大会上,共享单车、共享电动车、通知路灯、工业遥控器等联网设备也都被成功破解。 据了解,“补天杯”破解大赛是以赛代练的形式,号召全国范围内的企业、高校、民间的极客、白帽黑客、专家对新基建、智能交通、智能终端、智能家居等领域的智能设备、软件存在的漏洞及网络风险进行破解挑战,以比赛竞技的方式发现智能设备、软件存在的安全问题,引起政府、企业厂商对网络安全的重视,提升其安全能力,同时培养选拔网络安全人才,提升全民网络安全意识,为数字化、智能化时代的安全保驾护航。 |