近日有科技社群熱烈討論,蘋果的手機硬體漏洞遭破解,呼籲重要人士更換或升級持有的蘋果手機,否則手機內的敏感資料或隱私,可能被有心駭客竊取的議題。專家建議面對這類高技術門檻攻擊,蘋果使用者可透過4動作減緩影響,包括養成定期重新啟動手機的習慣,手機盡量不離身,若手機遺失,可考慮啟動遠端資料清除機制,以防第三人窺視,手機維修前應事先備份,並完整清除手機上的所有資料。
KPMG安侯建業數位科技安全團隊負責人謝昀澤執行副總表示,這次被命名為checkm8的蘋果手機漏洞,確實在資安界被譽為「史詩級技術」的震撼發現,因為有3項過去手機技術漏洞罕見的「三無」特色,包括一、無密碼攻擊。此一漏洞可繞過蘋果手機認證的帳密、指紋與人臉辨識驗證,直接取用手機內資料,不需要使用傳統社交工程騙取密碼,或進行其他遠距攻擊。
二、無軟體更新。此一漏洞為少見的硬體漏洞,針對存在於手機CPU晶片內部,在開機時最先執行的唯讀記憶體(Bootrom),並非傳統撬開iOS或APP。除非更換硬體,否則無法透過軟體升級來直接修補。
三、無特定版本。此一漏洞幾乎所有的市面上熱門蘋果手機、平板、手錶、音箱皆受到波及(較新硬體的iPhone XS、iPhone11系列等除外)。
面對這個罕見漏洞,iPhone使用者是否需要如部分網路社群的建議,直接更換手機?謝昀澤認為面對所有資安風險,應該從實際面臨的漏洞程度與威脅機率來合理判斷。以此漏洞事件狀況進行深入分析,目前所發現的硬體漏洞的確很經典,但是駭客執行成本很高,攻擊效益太低,所以發生在一般使用者手機上的機率不高。
謝昀澤進一步解釋,駭客攻擊成本高、攻擊效益低的原因,是因為有心人需要實際竊取特定人物的實體手機,有高難度且耗費很多時間。取得手機後,還要再實機連通特定的電腦設備,設法進入手機的開發韌體升級(DFU)模式進行攻擊,且攻擊程式在每一次手機重新啟動時,都需要重新取得實體手機重新設定。這樣繁瑣的過程與高門檻,缺乏規模化、自動化與直接財務誘因,對現今惡意駭客而言,非常的「厚工」。
謝昀澤補充,即使手機被入侵且被成功安裝後門程式,欲進行監聽或資料長期竊取,目前最新的iOS在手機重開後,也會有相關安全機制,可以抑制被惡意植入的程式運行。因此,謝昀澤建議,面對這類高技術門檻的攻擊,蘋果使用者其實只需要簡單做到4動作,就能有效減緩此一事件所產生的影響。
首先、養成定期重新啟動手機的習慣,避免長期不關機;二、手機盡量不離身,或應置於安全區域。三、如手機遺失,可考慮啟動遠端資料清除機制,以防第三人窺視。以最新版的iOS 13為例,開啟新版「尋找」APP,然後點一下「裝置」標籤頁,選取要遠端清除的裝置後,向下捲動並選擇「清除此裝置」;四、手機硬體需要交給廠商維修前,應事先備份,並完整清除手機上的所有資料。
謝昀澤認為,如果沒有購機成本限制,不嫌換機麻煩且有資料遺失風險,手機內又存有機敏資料的政商要員或影劇巨星等駭客眼中的「高價值目標(High Profile Targets)」人士,當然也可以考慮直接升級或更換手機,只是未來手機的各種軟硬體漏洞被揭露將越來越多,對所有使用者來說, 「有個好習慣,遠比有支好手機更安全」,一般手機使用者不需要過度恐慌。
我是廣告 請繼續往下閱讀
二、無軟體更新。此一漏洞為少見的硬體漏洞,針對存在於手機CPU晶片內部,在開機時最先執行的唯讀記憶體(Bootrom),並非傳統撬開iOS或APP。除非更換硬體,否則無法透過軟體升級來直接修補。
三、無特定版本。此一漏洞幾乎所有的市面上熱門蘋果手機、平板、手錶、音箱皆受到波及(較新硬體的iPhone XS、iPhone11系列等除外)。
面對這個罕見漏洞,iPhone使用者是否需要如部分網路社群的建議,直接更換手機?謝昀澤認為面對所有資安風險,應該從實際面臨的漏洞程度與威脅機率來合理判斷。以此漏洞事件狀況進行深入分析,目前所發現的硬體漏洞的確很經典,但是駭客執行成本很高,攻擊效益太低,所以發生在一般使用者手機上的機率不高。
謝昀澤進一步解釋,駭客攻擊成本高、攻擊效益低的原因,是因為有心人需要實際竊取特定人物的實體手機,有高難度且耗費很多時間。取得手機後,還要再實機連通特定的電腦設備,設法進入手機的開發韌體升級(DFU)模式進行攻擊,且攻擊程式在每一次手機重新啟動時,都需要重新取得實體手機重新設定。這樣繁瑣的過程與高門檻,缺乏規模化、自動化與直接財務誘因,對現今惡意駭客而言,非常的「厚工」。
謝昀澤補充,即使手機被入侵且被成功安裝後門程式,欲進行監聽或資料長期竊取,目前最新的iOS在手機重開後,也會有相關安全機制,可以抑制被惡意植入的程式運行。因此,謝昀澤建議,面對這類高技術門檻的攻擊,蘋果使用者其實只需要簡單做到4動作,就能有效減緩此一事件所產生的影響。
首先、養成定期重新啟動手機的習慣,避免長期不關機;二、手機盡量不離身,或應置於安全區域。三、如手機遺失,可考慮啟動遠端資料清除機制,以防第三人窺視。以最新版的iOS 13為例,開啟新版「尋找」APP,然後點一下「裝置」標籤頁,選取要遠端清除的裝置後,向下捲動並選擇「清除此裝置」;四、手機硬體需要交給廠商維修前,應事先備份,並完整清除手機上的所有資料。
謝昀澤認為,如果沒有購機成本限制,不嫌換機麻煩且有資料遺失風險,手機內又存有機敏資料的政商要員或影劇巨星等駭客眼中的「高價值目標(High Profile Targets)」人士,當然也可以考慮直接升級或更換手機,只是未來手機的各種軟硬體漏洞被揭露將越來越多,對所有使用者來說, 「有個好習慣,遠比有支好手機更安全」,一般手機使用者不需要過度恐慌。