0
| 本文作者: 李勤 | 2017-08-20 19:20 |
比新買的手機(jī)突然碎了屏更心痛的事情是什么?答案是:把碎屏手機(jī)送到維修點(diǎn)換屏,然后被黑了……
手機(jī)換個屏幕也能被黑?是的,黑客說,他們能辦到。
雷鋒網(wǎng)消息,據(jù)外媒security affairs 美國時間8月20日報道稱,手機(jī)在換屏過程中,有可能被植入惡意芯片,或者更換其他零部件。
“手機(jī)觸摸屏和其他類似的硬件組件通常油第三方制造商生產(chǎn),如定位傳感器,無線充電控制器和NFC讀取器,而不是手機(jī)廠商自己生產(chǎn)。支持這些組件的第三方驅(qū)動程序源代碼被集成到供應(yīng)商的源代碼中。與“可插拔”驅(qū)動程序(如USB或網(wǎng)絡(luò)驅(qū)動程序)相反,組件驅(qū)動程序的源代碼通常默認(rèn)組件硬件是真實(shí)可靠的,對組件和設(shè)備的主處理器之間的通信執(zhí)行的檢查較少。”研究人員稱。
研究人員使用了兩臺 Android 設(shè)備,一臺是采用了Synaptics 觸摸屏控制器的華為Nexus 6P手機(jī),另一臺是帶有Atmel控制器的LG G Pad 7.0平板電腦。
研究人員先用熱風(fēng)機(jī)將觸摸屏控制器與主組件板分開,并進(jìn)入銅焊盤,然后將焊盤連接到集成芯片,用于發(fā)起中間芯片攻擊并操縱通信總線。
“我們發(fā)起了基于惡意觸摸屏硬件的兩次獨(dú)立攻擊:一系列觸摸注入攻擊,允許觸摸屏模擬用戶并滲透數(shù)據(jù),以及緩沖區(qū)溢出攻擊,使攻擊者執(zhí)行特權(quán)操作。結(jié)合兩個構(gòu)建塊,我們提出并評估一系列端到端攻擊,發(fā)現(xiàn)這些攻擊可以嚴(yán)重?fù)p害包含標(biāo)準(zhǔn)固件的Android手機(jī)。”研究人員說。
可怕的是,設(shè)備驅(qū)動程序中的惡意程序只會影響移動設(shè)備,但不會影響其操作,這種黑客攻擊因此很難被發(fā)現(xiàn)。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
