匯流新聞網記者紀沈廷/綜合報導
這年頭還有什麼是安全的嗎?有資安公司發現,iOS、Android等作業系統採用的SQLite資料庫引擎可能成為駭客的攻擊目標,讓他們進而取得iPhone控制權。
資安公司Check Point發現,包含iOS、MacOS、Windows 10等作業系統採用的SQLite資料庫引擎,都可能成為駭客攻擊的目標,這讓他們可以繞握蘋果安全機制,取得消費者擁有的iPhone掌控權,進而控制聯絡人通訊錄程式。
根據資料顯示,SQLite資料庫引擎其實用在不少作業系統中,就連Google Chrome瀏覽器、Android作業系統、Safari瀏覽器、Firefox瀏覽器、Dropbox、Adobe等各種瀏覽器、作業系統或軟體之中。
或許是因為應用範圍非常廣泛,這讓SQLite資料庫引擎被駭客盯上,而Check Point近日在拉斯維加斯的資安年會DEF CON上,就對外展示,駭客是如何繞過安全機制來獲取裝置權限,還包含iPhone通訊錄和Mac上保存的密碼,都儲存在SQLite資料庫中;對此,Check Point表示,如果這樣的手法成功,駭客就可以掌握各位的iPhone,還有裡面的資料。
Check Point說,目前已將此事通知蘋果、微軟等科技巨擘,不過暫時未得到回應。
除此之外,另一間網路安全公司Hexway也發表了有關蘋果AirDrop服務與藍牙的隱私漏洞。
AirDrop是蘋果裝置像iPhone、iPad、Mac 電腦的圖片、資料傳輸功能,使用藍牙傳遞手機資訊;而Hexway則是開發出破解套件,能藉由裝置的藍芽功能來取得裝置名字、使用狀態、作業系統版本,就連電話號碼也能取得,如果駭客想要,甚至能發送iMessage給受影響的裝置。
如果iPhone用戶使用AirDrop功能,同時使用iOS內建「共享 Wi-Fi 網路密碼」,並接受與第三者分享Wi-Fi密碼,iPhone就會傳送像是電話號碼、Apple ID、信箱地址的「半 SHA256 雜湊函式」,而程式人員就能透過這些數據重組美國電話號碼。
參考來源:The Register、NDTV
照片來源:Unsplash
沒有留言:
張貼留言