|
||||
上周在新加坡舉行的SyScan安全會議上,Mac OS X安全專家Charlie Miller宣布,他發現了iPhone操作系統中的一個安全漏洞,攻擊者可以利用發送短信的方式獲取對方手機的Root權限,遠程安裝和執行惡意代碼。
他表示,iPhone在處理SMS短信的機制上存在缺陷,允許攻擊者通過發送短信運行程序代碼。利用這一漏洞,不懷好意者可以通過短信向對方的手機發出各種指令,比如打開GPS查看對方所在位置,打開手機麥克風竊聽對方談話,甚至將對方的手機當作肉雞,發動DDoS網絡攻擊。
不過,Charlie Miller表示他已經將該漏洞報告給了苹果官方,並與其達成了協議。苹果預計會在本月內發布針對該漏洞補丁昇級。而他則會在問題解決後,於本月底的Black Hat安全會議上公布該漏洞的詳細信息。
這位長期研究Mac OS操作系統的安全專家表示,盡管出現了這樣嚴重的短信漏洞,但iPhone使用的定制版Mac OS操作系統(即iPhone OS)實際上比完整版本更加安全。由於對系統進行了簡化,iPhone OS並不支持Flash或Java等外掛組件,這讓黑客少了很多攻擊的途徑。在此基礎上,iPhone對內存中的數據采取了硬件保護措施,並且只允許運行經過苹果認證簽名的代碼。另外,iPhone程序需要運行在『沙盒』當中,與其他程序隔離,限制了它訪問手機各組件的能力。目前來看,短信可運行代碼的機制是這套系統少有的安全短板。