第三方螢幕維修居然也成為駭客的攻擊手法!

研究發現加裝一片小晶片就能入侵你的手機。

第三方螢幕維修居然也成為駭客的攻擊手法!

一份由以色列的內古夫本古里安大學研究員發表的研究文章中發現,原來看來稀鬆平常的手機螢幕維修過程,也有可能成為被駭客盜取資料,甚至破壞裝置的機會。研究員只是在第三方螢幕裡裝嵌了一片整合式晶片,然後就能控制到 Huawei Nexus 6P 和 LG G Pad 7.0 的系統了。他們透過這塊晶片能夠記錄用戶在螢幕上的輸入、擷取螢幕畫面後甚至能透過電郵發送出去,誇張的是可以控制到裝置安裝 APP 和帶到釣魚網站裡,甚至是可以透過系統漏洞而攻擊到系統核心!以上的可怕後果,就只是在一片外觀並無異常的螢幕整修件裡被加裝了一片晶片,而且因為是在硬體層面的駭入,所以防毒軟體甚麼的都不能偵測到。

這樣透過直接接觸而駭入的「中間人」攻擊,可說是非常低成本的。因為研究員利用運行 Arduino 的 ATmega328 微控制器,或 STM32L432 微控制器等大多種同類產品都能做到這種效果。嵌入的方法也不複雜,就只是用熱風機把螢幕的觸控控制器分離,再把銅片一樣的微控制器晶片與之連接,最後再花一點心思來藏好就可以了。

說到這裡,大家都已經猜到研究人員所測試的兩台裝置不會是唯一有機會被駭的裝置型號,因為這種方式能在任何智慧裝置的觸控面板底下「加料」,不管你是 Android 或是 iOS 裝置都一視同仁啊。所以將來真的要去維修的話,還是建議去官方的服務中心吧。

來源: Yossi Oren

經由: Engadget

相關報導: Ars Technica