9月29日,第三屆中國互聯(lián)網(wǎng)安全大會于北京國家會議中心召開。在當(dāng)天下午的智能移動(dòng)終端安全論壇上,來自多家安全企業(yè)的專家分享了他們的最新研究成果。這些研究成果大多與網(wǎng)絡(luò)用戶利益直接相關(guān)。
一根數(shù)據(jù)線或可竊取聊天記錄
生活中,手機(jī)用戶都習(xí)慣用數(shù)據(jù)線來連接手機(jī)和電腦。數(shù)據(jù)線既可以給手機(jī)充電,又可以傳輸文件、安裝應(yīng)用,十分方便。但是,可能在用戶不知情的情況下,手機(jī)里的隱私已經(jīng)被黑客惡意竊取。這是怎么做到的呢?
周亞金是互聯(lián)網(wǎng)公司高級安全研究員,他演示了攻擊者利用漏洞查看并竊取安卓手機(jī)微信聊天記錄的過程:首先,他打開微信,向現(xiàn)場觀眾展示了一下微信聊天記錄;其次,他模擬攻擊者在電腦上預(yù)置一個(gè)惡意程序,這時(shí)微信的聊天記錄現(xiàn)在就顯示在屏幕上了。周亞金介紹:“這只是一個(gè)演示,實(shí)際上攻擊者可以將這些聊天記錄發(fā)送到遠(yuǎn)程的服務(wù)器,用戶卻毫不知情。”
另外,周亞金在現(xiàn)場演示了如何通過漏洞執(zhí)行惡意代碼,繼而破解用戶的手機(jī)鎖屏密碼。不需要開鎖就可以直接進(jìn)入用戶系統(tǒng)查看任何隱私。
漏洞來自谷歌原生安卓系統(tǒng)
攻擊者可以利用這個(gè)漏洞提高自己的系統(tǒng)權(quán)限,從而竊取用戶隱私。除了微信聊天記錄之外,銀行卡密碼、支付寶的支付憑證也都有可能被盜取。
周亞金介紹:“這個(gè)漏洞的產(chǎn)生需要兩個(gè)條件。一方面是原生系統(tǒng)本身就存在問題,另一方面需要能觸發(fā)問題的預(yù)置應(yīng)用(也就是手機(jī)APP),比如廠商的預(yù)置的一些應(yīng)用。如果觸發(fā)了這個(gè)漏洞,造成的影響就比較大。”
專家所說的原生系統(tǒng)也就是谷歌公司開發(fā)的安卓系統(tǒng)。目前,這個(gè)漏洞已經(jīng)反饋給谷歌公司,等待修復(fù)。關(guān)于安全問題如何防護(hù),周亞金也提出了自己的幾點(diǎn)建議。
第一,國家相關(guān)部委出臺一些政策,要求手機(jī)廠商在手機(jī)出廠之前,要經(jīng)過一定的安全認(rèn)證。在發(fā)現(xiàn)重大漏洞的時(shí)候,要求手機(jī)廠商及時(shí)推出安全補(bǔ)丁。另外一方面,我也呼吁手機(jī)廠商加大安全的投入。第三點(diǎn),用戶也要有更強(qiáng)的安全意識,不要從不明論壇上下載手機(jī)APP,要及時(shí)殺毒,及時(shí)系統(tǒng)更新。
京公網(wǎng)安備 11010502049343號