Black Hat：駭掉停車計時器、iPhone及SSL

2009 / 08 / 03

編輯部

別懷疑！甚麼都可以駭！在美國黑帽駭客大會上，Joe Grand展示了如何黑掉路邊的停車計時器。Joe是一名研究硬體安全的駭客，他認為這個展示式為了讓這些裝置的安全弱點被重視，以及注意可能的犯罪行為。美國舊金山市在2003年將機械式停車計時器換成智慧卡的停車計時裝置，但是現在被證明有漏洞，可以自行加值到999元美金。

當然，本次黑帽大會熱門的議題莫過於早就被關注炒作的iPhone手機安全，資安專家表示只要透過傳送特定的文字簡訊就可以入侵手機，包含Windows Mobile、iPhone以及Android平台都有這個問題。並且，於黑帽大會中展示透過iPhone的SMS系統，很可能會演變成手機的蠕蟲攻擊，透過通訊錄名單攻擊其他朋友。目前Apple已釋出iPhone OS 3.0.1修補SMS的弱點(如圖)，而Google的Android也已經將漏洞修補，不過都需要用戶介入自行更新。此外，還有專家可以偽造SMS訊息來源，讓人信以為真，但只要點入簡訊中的連結，就會被手機釣魚，甚至將手機的網路連線重新導向到被壞人所控制的proxy代理伺服器，從中獲取機敏訊息。

大家上網登入帳號密碼時，都會用到的SSL機制，也已經證明並非牢不可破。Moxie開發一套SSLSNIF工具，能夠做SSL連線的中間人攻擊。因為，大家看到憑證警告訊息時，通常都會按下確定或者忽略問題，而使用SSL機制的瀏覽器與其他如SSL VPN都可能遇到這樣的攻擊問題。

black hat 停車計時器 iPhone Windows Mobile Android 手機資安專家駭 SSL BlackHat SNIF iPhone OS 3.0.1 SMS 蠕蟲