我是廣告 請繼續往下閱讀
二、無軟體更新。此一漏洞為少見的硬體漏洞,針對存在於手機CPU晶片內部,在開機時最先執行的唯讀記憶體(Bootrom),並非傳統撬開iOS或APP。除非更換硬體,否則無法透過軟體升級來直接修補。
三、無特定版本。此一漏洞幾乎所有的市面上熱門蘋果手機、平板、手錶、音箱皆受到波及(較新硬體的iPhone XS、iPhone11系列等除外)。
面對這個罕見漏洞,iPhone使用者是否需要如部分網路社群的建議,直接更換手機?謝昀澤認為面對所有資安風險,應該從實際面臨的漏洞程度與威脅機率來合理判斷。以此漏洞事件狀況進行深入分析,目前所發現的硬體漏洞的確很經典,但是駭客執行成本很高,攻擊效益太低,所以發生在一般使用者手機上的機率不高。
謝昀澤進一步解釋,駭客攻擊成本高、攻擊效益低的原因,是因為有心人需要實際竊取特定人物的實體手機,有高難度且耗費很多時間。取得手機後,還要再實機連通特定的電腦設備,設法進入手機的開發韌體升級(DFU)模式進行攻擊,且攻擊程式在每一次手機重新啟動時,都需要重新取得實體手機重新設定。這樣繁瑣的過程與高門檻,缺乏規模化、自動化與直接財務誘因,對現今惡意駭客而言,非常的「厚工」。
謝昀澤補充,即使手機被入侵且被成功安裝後門程式,欲進行監聽或資料長期竊取,目前最新的iOS在手機重開後,也會有相關安全機制,可以抑制被惡意植入的程式運行。因此,謝昀澤建議,面對這類高技術門檻的攻擊,蘋果使用者其實只需要簡單做到4動作,就能有效減緩此一事件所產生的影響。
首先、養成定期重新啟動手機的習慣,避免長期不關機;二、手機盡量不離身,或應置於安全區域。三、如手機遺失,可考慮啟動遠端資料清除機制,以防第三人窺視。以最新版的iOS 13為例,開啟新版「尋找」APP,然後點一下「裝置」標籤頁,選取要遠端清除的裝置後,向下捲動並選擇「清除此裝置」;四、手機硬體需要交給廠商維修前,應事先備份,並完整清除手機上的所有資料。
謝昀澤認為,如果沒有購機成本限制,不嫌換機麻煩且有資料遺失風險,手機內又存有機敏資料的政商要員或影劇巨星等駭客眼中的「高價值目標(High Profile Targets)」人士,當然也可以考慮直接升級或更換手機,只是未來手機的各種軟硬體漏洞被揭露將越來越多,對所有使用者來說, 「有個好習慣,遠比有支好手機更安全」,一般手機使用者不需要過度恐慌。
