iPhone驚爆「史詩級不可修漏洞」 資安專家:一般使用者免驚

出版時間:2019/11/18 11:09

近日有科技社群熱烈討論,Apple的iPhone手機硬體漏洞遭破解,並呼籲重要人士要更換或升級自己持有的蘋果手機,否則手機內的敏感資料或隱私,可能被有心駭客竊取的議題。

KPMG安侯建業數位科技安全團隊負責人謝昀澤表示,本次被命名為「checkm8」的蘋果手機漏洞,在資安界被譽為「史詩級技術」的震撼發現,因為其有下列三項過去手機技術漏洞罕見的「三無」特色。

包括「無密碼攻擊」,可繞過蘋果手機認證的帳密、指紋與人臉辨識驗證,直接取用手機內資料,不需要使用傳統社交工程騙取密碼,或進行其他遠距攻擊。

「無軟體更新」,為少見的硬體漏洞,針對存在於手機CPU晶片內部,在開機時最先執行的唯讀記憶體(Bootrom),並非傳統撬開iOS或APP。除非更換硬體,否則無法透過軟體升級來直接修補。

「無特定版本」,幾乎所有的市面上熱門蘋果手機、平板、手錶、音箱皆受到波及(較新硬體的iphone XS、iPhone11系列等除外)。
 
面對這個罕見漏洞,iPhone使用者是否需要如部分網路社群的建議,直接更換手機?謝昀澤認為,面對所有資安風險,應該從實際面臨的漏洞程度與威脅機率來合理判斷。

以此漏洞事件狀況進行深入分析,目前所發現的硬體漏洞的確很經典,但是駭客執行成本很高,攻擊效益太低,所以發生在一般使用者手機上的機率不高。

謝昀澤進一步解釋,駭客攻擊成本高、攻擊效益低的原因,是因為有心人需要實際竊取特定人物的實體手機,有高難度且耗費很多時間;取得手機後,還要再實機連通特定的電腦設備,設法進入手機的開發韌體升級(DFU)模式進行攻擊,且攻擊程式在每一次手機重新啟動時,都需要重新取得實體手機重新設定。

這樣繁瑣的過程與高門檻,缺乏規模化、自動化與直接財務誘因,對現今惡意駭客而言,非常的「厚工」。

謝昀澤補充,即使手機被入侵且被成功安裝後門程式,欲進行監聽或資料長期竊取,目前最新的iOS在手機重開後,也會有相關安全機制,可以抑制被惡意植入的程式運行。
 
因此,謝昀澤建議,面對這類高技術門檻的攻擊,蘋果使用者其實只需要簡單做到4點,就能有效減緩此一事件所產生的影響。

首先為養成定期重新啟動手機的習慣,避免長期不關機;其次手機盡量不離身,或應置於安全區域。

第三,如手機遺失,可考慮啟動遠端資料清除機制,以防第三人窺視。以最新版的iOS 13為例,開啟新版「尋找」app,然後點一下「裝置」標籤頁,選取要遠端清除的裝置後,向下捲動並選擇「清除此裝置」。

最後,手機硬體需要交給廠商維修前,應事先備份,並完整清除手機上的所有資料

謝昀澤認為,如果沒有購機成本限制,不嫌換機麻煩且有資料遺失風險,手機內又存有機敏資料的政商要員或影劇巨星等駭客眼中的「高價值目標」人士,當然也可以考慮直接升級或更換手機。只是未來手機的各種軟硬體漏洞被揭露將越來越多,對所有使用者來說, 「有個好習慣,遠比有隻好手機更安全」,一般手機使用者不需要過度恐慌。(劉懿慧/台北報導)

本新聞文字、照片、影片專供蘋果「升級壹會員」閱覽,版權所有,禁止任何媒體、社群網站、論壇,在紙本或網路部分引用、改寫、轉貼分享,違者必究。

下載「蘋果新聞網APP


有話要說 投稿「即時論壇」
更多

《最新》

新聞