或许你曾经见过在某些影视作品中,黑客在完全不接触设备的情况下,隔空控制一个人的手机或者电脑来获取信息、甚至控制一些公共设施的运作,但这些场景在显示生活中发生的可能性并不大。要入侵一台电脑,大多数情况下黑客需要和这台设备取得连接,甚至去诱导设备拥有者主动安装一些带有后门的程序才能展开攻击。
但是谷歌Project Zero安全研究人员 Ian Beer就把这“隔空取物”这一影视桥段变成了现实。在他今天更新的博文中,他表示在今年五月,iPhone和iPad设备存在严重的漏洞,能够让攻击者在不接触设备的情况下完全控制设备,包括阅读电子邮件、获取联系人和*载下**照片,甚至通过摄像头和麦克风实时*听设监备**,控制设备关机重启等。
Ian表示,这个漏洞是通过苹果设备之间的AWDL协议实现的,AWDL协议是AirDrop、Sidecar、AirPlay等苹果无线功能的基础通信协议,AWDL协议默认是开启的,即便用户在控制中心中断开了Wi-Fi连接。Ian不仅找到了通过AWDL来实现攻击的办法,他还找到了强制AWDL打开的方法。
Ian上传了一段视频来重现利用这个漏洞进行攻击的方法。他在一个房间内用一台运行iOS 13.3的iPhone 11 Pro拍摄了一张照片,然后打开YouTube应用并将手机静置模拟正常使用(这台手机全程没有连接Wi-Fi)。随后Ian走到了房门另一边,用一台连接了树莓派以及路由器的MacBook Air在短短几分钟之内入侵了这台手机。照片就这样神不知鬼不觉地被附近的黑客偷走了。
更加骇人的是,整个过程中被入侵的iPhone仍然处于YouTube应用页面,被窃取信息的用户完全不会注意到整个过程。
虽然这个漏洞看起来很可怕,但是大家完全没必要担心自己手机的数据安全。因为这一个漏洞早在今年5月就已经被修复。这次曝光漏洞的Ian Beer是黑客界的知名大佬,绰号“啤酒哥”,就职于谷歌的他日常工作就是在互联网世界上四处打洞,然后给科技公司提交漏洞获取报酬。
啤酒哥表示,他花了整整六个月才发现了这个漏洞并且验证了攻击的可行性,目前没有证据证明这些漏洞曾经被不法黑客利用。苹果今年5月份的一次安全更新中修复了这个漏洞,并引用了Beer的内容。作为普通用户,我们需要做的就是尽可能保持软件的更新,因为在大多数情况下,软件厂商都会在第一时间对漏洞进行封堵。