騰訊科技 思睿 9月20日編譯
全球黑客都在聚焦本周五蘋果在各主要市場發(fā)售iPhone 5s,并展開了迅速破解iPhone 5s首次采用的指紋識別技術(shù)Touch ID的競賽。蘋果在iPhone 5s發(fā)布會上表示,指紋識別技術(shù)能夠確保用戶數(shù)據(jù)更加安全。
據(jù)路透社網(wǎng)站報道,一些安全研究人員攜手一個微型風(fēng)投公司,為比賽中首位攻破iPhone 5S防線的競賽者提供13,000美元現(xiàn)金獎勵,及數(shù)瓶美酒、比特幣、書籍等獎品。芝加哥IO Capital的聯(lián)合創(chuàng)始人阿圖拉斯•羅森巴赫(Arturas Rosenbacher)就是其中一位贊助人。他表示,此舉將匯聚黑客社區(qū)的高端人才,幫助蘋果找出其未能察覺到的漏洞和不足。羅森巴赫補(bǔ)充稱:“我們的初衷即是在漏洞成為問題之前解決它。這將使得產(chǎn)品更加安全”。
與此同時,據(jù)《福布斯》網(wǎng)絡(luò)版報道,一位生活在西班牙加那利群島的36歲士兵何塞•羅德里格斯(Jose Rodriguez)已經(jīng)發(fā)現(xiàn)新發(fā)布的iOS 7存在繞過密碼訪問相冊、電子郵件、Twitter等應(yīng)用的漏洞。
對此,蘋果發(fā)言人特魯?shù)?#8226;穆勒(Trudy Muller)告知路透社記者,該公司將對此進(jìn)行修復(fù),并在成熟時作為iOS 7更新發(fā)布出來。穆勒表示:“蘋果十分看重用戶數(shù)據(jù)安全”
美國海軍陸戰(zhàn)隊(duì)前任網(wǎng)絡(luò)情報分析師大衛(wèi)•肯尼迪(David Kennedy)也為參加此次黑客競賽做好了充分準(zhǔn)備。他現(xiàn)在經(jīng)營著屬于自己的咨詢公司TrustedSec LLC。這位DerbyCon黑客大會的創(chuàng)辦人在上周舉辦的湯森路透全球市場論壇(Thomson Reuters Global Markets Forum)上表示:“我正在全力準(zhǔn)備找到破解指紋識別技術(shù)的方法。我會熬夜嘗試各種方法去破解它。”
破解最短只需兩周
安全領(lǐng)域?qū)I(yè)人士擔(dān)憂,采用指紋識別技術(shù)準(zhǔn)許用戶接入手機(jī)中的敏感數(shù)據(jù)或完成移動購買支付行為可能會引發(fā)很多問題。頂配iPhone 5s所具備的指紋掃描儀能夠讓用戶簡單地將手指按在Home鍵上就可以對手機(jī)進(jìn)行解鎖或在iTunes上完成購買支付行為。這一技術(shù)一直被認(rèn)為是生物測定技術(shù)在個人電子產(chǎn)品中所取得的巨大進(jìn)步。
安全工程師查理•米勒(Charlie Miller)在黑客圈里因?yàn)樯糜诎l(fā)現(xiàn)iPhone存在的主要漏洞和繞開蘋果App Store的安全警戒而出名。他指出,肯尼迪或其他黑客高端人才很可能在兩周之內(nèi)就可以破解iPhone 5s的指紋識別技術(shù)。一旦實(shí)現(xiàn)了破解,他們就可以輕易地接入存儲在用戶iPhone里的海量珍貴數(shù)據(jù),并能夠在iTunes和蘋果App Store里完成購買商品的操作。米勒拒絕對此次黑客競賽以及指紋掃描儀存在的潛在安全漏洞發(fā)表評論。
安全領(lǐng)域?qū)I(yè)人士表示,根據(jù)蘋果截至目前公布的相關(guān)信息,他們還沒有發(fā)現(xiàn)指紋掃描儀存在什么致命漏洞。而評論家們則在本周對該技術(shù)的易用性和可靠性進(jìn)行了大肆贊揚(yáng)。
這款指紋掃描儀的藍(lán)寶石傳感器被植入進(jìn)了iPhone 5s 的Home鍵里,并可以在用戶接觸Home鍵時對指紋進(jìn)行掃描,并借此驗(yàn)證用戶的身份。用于驗(yàn)證身份的數(shù)據(jù)被加密后存儲在iPhone 5s A7芯片的一小塊安全區(qū)域內(nèi)。任何遠(yuǎn)程服務(wù)器都不會收到相關(guān)信息,其中也包括蘋果的iCloud系統(tǒng)。
黑客專家兼安全軟件提供商Rapid7首席研究員莫爾(HD Moore)表示:“這種保護(hù)措施意味著安全等級較高,但卻絲毫不會挫傷黑客們努力破解新技術(shù)的信心。這無疑是黑客們非常關(guān)心的技術(shù),而且人們也會持續(xù)關(guān)注。”
破解新技術(shù)非個案
蘋果不應(yīng)該認(rèn)為,黑客們只關(guān)心破解該公司的產(chǎn)品。
其實(shí),所有主要電子產(chǎn)品所具備的新功能都遭遇過類似的破解過程。谷歌(微博)、微軟和三星的產(chǎn)品都無一幸免。
2012年,查理•米勒就帶領(lǐng)一支團(tuán)隊(duì)向人們展示了如何通過谷歌Android智能手機(jī)自帶的近程通訊技術(shù)(near-field communication, NFC)完全接管該手機(jī)的技巧。這種無線技術(shù)被用來在POS機(jī)終端完成數(shù)據(jù)分享或購買支付交易。
軟件漏洞通常都是由所謂的“白帽”黑客率先發(fā)現(xiàn),然后被反饋回生產(chǎn)廠商加以修復(fù),這樣就避免了犯罪分子有機(jī)可乘。但這里存在一個前提:“白帽”必須在黑客之間發(fā)現(xiàn)這些漏洞。
自從蘋果在2007年推出首款iPhone以來,“白帽”們已經(jīng)在iPhone、iPad和App Store里發(fā)現(xiàn)了大量的安全隱患。他們表示,這種檢查已經(jīng)幫助iPhone成為目前市場上最安全的設(shè)備之一。
肯尼迪表示,他需要對新款iPhone進(jìn)行全面測試,以便找到對其實(shí)施攻擊的最好辦法。他指出,他所采用的方法包括破解用于分析指紋數(shù)據(jù)的軟件,或者干脆拆開iPhone 5s并將它連接在一款能夠模擬蘋果指紋掃描儀工作原理的特制設(shè)備上。還有一種可能的破解方法是:提取用戶在其他設(shè)備上留下的指紋,然后再拷貝到iPhone 5s上。
