• 
    联系我们

    广东联迪信息科技有限公司

    服务热线

    网络集成:400⑻99-0899

    软件支持:400⑻877⑼91

    咨询热线

    公司前台:0756⑵119588

    公司传真:0756⑵119578

    售前咨询:0756⑵133055

    公司地址

    珠海市香洲区兴华路212号能源大厦2楼

    社会新闻
    当前位置 > 首页 > 社会新闻

    科普:黑客是如何攻击你的安卓/iOS设备的

    种别:社会新闻发布人:联迪发布时间:2017-03⑴6

    上周维基解密的1场解密,让智能手机市场的两大巨头iOS和Android系统成为关注的焦点,也让很多用户开始担心手中设备的安全。不过我们要说的,黑客攻击移动设备的办法很多,但是你想象中的那种办法其实难度挺高的,其实不常常使用。在遇到这类类型的攻击之前,你更有可能被钓鱼攻击。

    黑客对移动设备的攻击1般有4种方法:

    • 通过操作系统的安全漏洞利用或硬件漏洞对设备进行全面控制

    • 在用户未发觉的情况下履行某些任务的恶意软件

    • 中间人攻击拦截网络流量

    • 通过社会工程手段有针对性攻击

    可能有些人担心自己的设备会被黑客全面控制,可是实际上1般用户更可能会遇到的是后面这3种情况:社会工程手段、中间人攻击和恶意软件。

    “非法侵入”移动设备意味着甚么

    任何软件都存在漏洞,操作系统也1样。iOS系统和Android系统中都有漏洞,利用这些漏洞攻击者可以完全控制设备。这基本上也是越狱(jailbreak)和破解系统获得根权限(root)的1个目的:1般情况下用户在设备上不能做的事情,在越狱或获得根权限以后都可以做了。越狱是绕过了苹果的限制,获得根权限则让用户取得与设备管理员账户相连接的特权。

    不过大部份越狱和获得根权限方法都要求对设备有物理访问权限,而苹果和谷歌常常很快就会封堵越狱和获得根权限的漏洞。此前暴光的Vault 7 越狱和获得根权限工具明显只对旧版iOS和有用,苹果和谷歌也都发表声明表示,他们已修复了这些漏洞。

    设备操作系统升级到最新版的重要性就体现在这里了。固然如果你的设备太旧了没法支持最新操作系统的话,你也无需太过担心,由于这些越狱和获得根权限都要求对设备有物理访问权限。

    物理攻击和远程攻击

    如果攻击者对你的设备有物理访问权限,那就玩完啦!他可以对你设备进行任何操作。密码锁定设备,内容加密,这些只是影响到攻击者突破的速度,设备1旦被解锁,那攻击者就如入了“无人之境”。如果攻击者利用任何物理方法去越狱或获得根权限设备,那末他便可以够完全控制设备,各种安全防范措施对他来讲都不是困难。

    攻击者1般不会选择远程获得根权限或越狱设备,特别是对iOS设备。比如NSO团体为各国政府提供的特务软件套装Pegasus(可戏称为天马流星拳)。Pegasus是1套高度定制化和自动化的特务软件,其内置3叉戟(3个iOS零日漏洞组合),可以有效刺破iOS的安全机制,抵达内核,完全控制手机,然后盗取其中数据。但是这3个iOS零日漏洞却不容易找到,这也是为甚么当年Zerodium会悬赏百万寻觅iOS中可用于远程越狱的漏洞。针对硬件缺点的漏洞利用就更少见了。

    其他更容易的攻击办法

    其实攻击移动设备的方法还很多,只是这些方法成功的可能性会有所不同。其实网络钓鱼式攻击可能才是唯1可靠的攻击方法,这类攻击是针对用户个人的,而不是针对利用或设备的。

    虽然恶意软件也能够在未取得用户授权的情况下履行某些任务,比如录音对话、截屏用户当前操作、追踪用户位置、复制文件到远程服务等。但用户要是都从官方渠道获得利用的话,那末他们很少会遇到这类问题。

    苹果和谷歌在杜绝恶意利用进入利用商店方面都下了很多工夫。Android用户可以设定不允许安装未从官方渠道下载的利用。iOS用户则没有得选,只能通过App Store来安装利用。恶意软件其实不是完全没有办法进入官方利用商店,只是它们很快就会被苹果或谷歌发现,然后会马上被删除掉。

    另外恶意软件在设备上的权限也会遭到限制,在履行某些任务时它还是需要取得用户的许可才可进行,而且操作系统本身的安全特性对这些恶意软件也有束缚。如果1款利用不能读取其他利用的数据;它需要漏洞才能“打破”利用沙箱或绕过文件系统权限;而且如上文所说,目前还没有可远程实现这些操作的可靠办法。

    其实攻击移动设备,攻击者最常常使用的办法与利用或漏洞无关。用户更有可能由于钓鱼式攻击或其他情势的社会工程手段给欺骗,从而导致账户或认证信息被盗。目前有很多能够追踪和监视用户的商业利用都是通过这些办法来实现的。

    要是用户不谨慎在设备上安装了键盘记录程叙文件,那用户设备上应当没有任何1样东西是安全的。其实还有1些用户,他们对周围的环境不敏感,周围的人凑个头过来看屏幕内容他们都没有发觉。等到他们真正发觉的时候,他人已得手了。这类情况就完全不是设备或利用的错,而是用户自己了。

    如果你不希望自己的设备被他们非法嵌入,那末请谨慎钓鱼式攻击,还有周围喧闹人群中,盯着你的手机看了好久的那双眼睛。对你来讲这些才是真实的要挟。