混凝土搅拌站厂家
免费服务热线

Free service

hotline

010-00000000
混凝土搅拌站厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

iPhone5S够安全吗听骇客怎么说

发布时间:2020-06-29 18:10:44 阅读: 来源:混凝土搅拌站厂家

iPhone 5S 或其内建的指纹扫描仪可能被骇吗?

在苹果公司执行长库克(Tim Cook)发布最新版 iPhone 智慧型手机后,这已经成为 iOS 骇客心中最感好奇的问题之一了。这款新手机不只采用64位元 A7 处理器,也搭载了大幅改善其安全性的iOS 7 作业软体。

不过, iPhone 5S 至今仍未上市,即使是手机安全性方面的研究人员也无法(或很少有人)拿到这支手机。然而,根据产品发布的规格与预测,苹果产品骇客与安全架构研究人员将会面临的挑战以及机会可能包括以下六项:

一、iPhone 4S后的iOS安全性:难以破解

就智慧型手机而言,最近几代的 iPhone 由于配置得宜,其实已经具有相当的安全性了。Trail of Bits技术长Dino Dai Zovi表示,「iPhone 4S及其后的新版 iPhone 都采用了先进的开机密码,这是一种相当棘手的机制。苹果在密码/晶片上加密技术方面做得相当不错。」Dino Dai Zovi同时也是《iOS骇客手册》(iOS Hacker"s Handbook)的共同作者之一。

二、安全架构进展:64位元

苹果为 iPhone 5S 采用了64位元处理器更增强其安全架构,特别是针对「越狱者」(jailbreaker),他们常喜欢利用 iPhone 的种种漏洞取得权限。一位专门经营bug买卖的曼谷掮客Grugq表示:「大家都用64位元ARM的好处可能就在于一堆应用程式马上就失效了。」

但这可能只能让零时(zero-day)漏洞攻击者暂时感到灰心罢了。根据Reddit的相关讨论,「由于新的 iPhone 5S 采用不同类型的晶片,很可能产生新的错误以及在其核心/bootRom/软体中出现可能被利用的漏洞。」

三、萤幕撷取:轻松复制指纹

至于指纹读取器所存在的一项潜在风险则是从触控萤幕即可取得用户的指纹,并可将它用来解锁手机,这就是所谓「钓鱼式」的攻击。

首先我会尝试的是破解指纹读取器,例如从手机上取得指纹,然后再设法复制并应用于感测器上,即可在手机用户不在附近的情况下顺利登入他的手机,」Zovi解释,而另一种可能的攻击是采用能够将指纹影像进行数位化的软体。

最新一代的指纹读取器内建了「生命力」的侦测这意味着射频(RF)讯号在与皮肤表层下的指纹互动时,只接受活体手指才能起作用。然而,据了解,这部份也可能加以破解。「目前采用的电容器触控技术比较容易突破,它在侦测相对的法拉(Farad)变化时较不那么灵敏,」Fortinet公司FortiGuard Labs的安全策略专家与威胁研究员Richard Henderson表示。

四、生物辨识资料深藏于A7

那么骇客能直接从处理器记忆体中撷取储存的指纹扫描资料并用于破解用户手机吗?事实上,要直接存取生物识别资料应该不太可能: iPhone 5S 中的 A7 处理器包括量身打造的 Secure Enclave 它是专门用于加密手机的指纹扫描资料。这种加密的资料据说只能直接由处理器存取,无法经由手机硬体取出。

尽管生物辨识资料储存地相当安全,但Trail of Bits的Zovi建议,具有安全意识的 iPhone 5S 用户也不应该完全依赖于Touch ID ,至少要等安全架构研究人员有机会取得手机后进行完整的研究确认才行。「在我确认 Touch ID如何键入保护资料以前,我强烈建议采用较复杂的密码输入方式,」他说。

但是,对于目前并未在手机上使用密码的用户例如雅虎执行长Marissa Mayer日前透露,她并不使用密码来锁定智慧型手机Zovi强调,使用Touch ID总比未使用好。「一半的iPhone用户甚至未启用四位数密码。因此,如果Touch ID能让更多人使用密码与资料保护,这样就算成功了,」Zovi表示。

五、生物辨识资料也需要安全备份

让骇客更感兴趣的事实是,Touch ID并不是全有或全无的方案。要使用Touch ID,你还必须先设定一组密码作为备份。根据Quora上发布对于苹果Secure Enclave的讨论,只有在手机重新开机(例如电池完全用尽)或48小时未被解锁的情况下,才能启用这组密码来解锁手机。「这是一项智慧型的功能,设定一段时间限制的目的在于遏止犯份子试图找到可规避指纹扫描仪的方法来。」

六、企业环境适用指纹辨识吗?

但企业用户适用 Touch ID 吗?如果指纹辨识无法通过企业检测,在应用上可能会变得更加复杂。企业所建置具有安全策略的系统通常要求行动装置必须提供密码,但他们可能会发现指纹读取器并不相容于Exchange ActiveSync (EAS)通讯协定,「用户仍必须使用PIN码,这几乎和 Android 装置不支援的滑动解锁方式一样。」

编译:Susan Hong

(参考原文:Apple Hackers Rate iPhone 5s Security,by Mathew J. Schwartz)

国内vpn推荐

回国VPN推荐

国外翻墙回国内看视频