https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

Black Hat:駭掉停車計時器、iPhone及SSL

2009 / 08 / 03
編輯部
Black Hat:駭掉停車計時器、iPhone及SSL
別懷疑!甚麼都可以駭!在美國黑帽駭客大會上,Joe Grand展示了如何黑掉路邊的停車計時器。Joe是一名研究硬體安全的駭客,他認為這個展示式為了讓這些裝置的安全弱點被重視,以及注意可能的犯罪行為。美國舊金山市在2003年將機械式停車計時器換成智慧卡的停車計時裝置,但是現在被證明有漏洞,可以自行加值到999元美金。

當然,本次黑帽大會熱門的議題莫過於早就被關注炒作的iPhone手機安全,資安專家表示只要透過傳送特定的文字簡訊就可以入侵手機,包含Windows Mobile、iPhone以及Android平台都有這個問題。並且,於黑帽大會中展示透過iPhone的SMS系統,很可能會演變成手機的蠕蟲攻擊,透過通訊錄名單攻擊其他朋友。目前Apple已釋出iPhone OS 3.0.1修補SMS的弱點(如圖),而Google的Android也已經將漏洞修補,不過都需要用戶介入自行更新。此外,還有專家可以偽造SMS訊息來源,讓人信以為真,但只要點入簡訊中的連結,就會被手機釣魚,甚至將手機的網路連線重新導向到被壞人所控制的proxy代理伺服器,從中獲取機敏訊息。

大家上網登入帳號密碼時,都會用到的SSL機制,也已經證明並非牢不可破。Moxie開發一套SSLSNIF工具,能夠做SSL連線的中間人攻擊。因為,大家看到憑證警告訊息時,通常都會按下確定或者忽略問題,而使用SSL機制的瀏覽器與其他如SSL VPN都可能遇到這樣的攻擊問題。