永利彩票:苹果手机惊传史上最大资安漏洞 专家建议4动作保护自己

特定升级-苹果手机惊传史上最大资安漏洞 专家建议4动作保护自己-平安彩票

  • 时间:

世界艾滋病日

▲苹果手机惊爆传史诗级不可修漏洞,专家建议果迷4动作保护自己。(示意图/取自pixabay)

近日有科技社群热烈讨论,苹果的手机硬体漏洞遭破解,呼吁重要人士更换或升级持有的苹果手机,否则手机内的敏感资料或隐私,可能被有心骇客窃取的议题。专家建议面对这类高技术门槛攻击,苹果使用者可透过4动作减缓影响,包括养成定期重新启动手机的习惯,手机尽量不离身,若手机遗失,可考虑启动远端资料清除机制,以防第三人窥视,手机维修前应事先备份,并完整清除手机上的所有资料。

KPMG安侯建业数位科技安全团队负责人谢昀泽执行副总表示,这次被命名为checkm8的苹果手机漏洞,确实在资安界被誉为「史诗级技术」的震撼发现,因为有3项过去手机技术漏洞罕见的「三无」特色,包括一、无密码攻击。此一漏洞可绕过苹果手机认证的帐密、指纹与人脸辨识验证,直接取用手机内资料,不需要使用传统社交工程骗取密码,或进行其他远距攻击。

二、无软体更新。此一漏洞为少见的硬体漏洞,针对存在于手机CPU晶片内部,在开机时最先执行的唯读记忆体(Bootrom),并非传统撬开iOS或APP。除非更换硬体,否则无法透过软体升级来直接修补。

三、无特定版本。此一漏洞几乎所有的市面上热门苹果手机、平板、手表、音箱皆受到波及(较新硬体的iPhone XS、iPhone11系列等除外)。

面对这个罕见漏洞,iPhone使用者是否需要如部分网路社群的建议,直接更换手机?谢昀泽认为面对所有资安风险,应该从实际面临的漏洞程度与威胁机率来合理判断。以此漏洞事件状况进行深入分析,目前所发现的硬体漏洞的确很经典,但是骇客执行成本很高,攻击效益太低,所以发生在一般使用者手机上的机率不高。

谢昀泽进一步解释,骇客攻击成本高、攻击效益低的原因,是因为有心人需要实际窃取特定人物的实体手机,有高难度且耗费很多时间。取得手机后,还要再实机连通特定的电脑设备,设法进入手机的开发韧体升级(DFU)模式进行攻击,且攻击程式在每一次手机重新启动时,都需要重新取得实体手机重新设定。这样繁琐的过程与高门槛,缺乏规模化、自动化与直接财务诱因,对现今恶意骇客而言,非常的「厚工」。

谢昀泽补充,即使手机被入侵且被成功安装后门程式,欲进行监听或资料长期窃取,目前最新的iOS在手机重开后,也会有相关安全机制,可以抑制被恶意植入的程式运行。因此,谢昀泽建议,面对这类高技术门槛的攻击,苹果使用者其实只需要简单做到4动作,就能有效减缓此一事件所产生的影响。

首先、养成定期重新启动手机的习惯,避免长期不关机;二、手机尽量不离身,或应置于安全区域。三、如手机遗失,可考虑启动远端资料清除机制,以防第三人窥视。以最新版的iOS 13为例,开启新版「寻找」APP,然后点一下「装置」标籤页,选取要远端清除的装置后,向下捲动并选择「清除此装置」;四、手机硬体需要交给厂商维修前,应事先备份,并完整清除手机上的所有资料。

谢昀泽认为,如果没有购机成本限制,不嫌换机麻烦且有资料遗失风险,手机内又存有机敏资料的政商要员或影剧巨星等骇客眼中的「高价值目标(High Profile Targets)」人士,当然也可以考虑直接升级或更换手机,只是未来手机的各种软硬体漏洞被揭露将越来越多,对所有使用者来说, 「有个好习惯,远比有支好手机更安全」,一般手机使用者不需要过度恐慌。

今日关键词:杨天真删博