吳明宜 |
羅格斯大學 (Rutgers 大學) 的電腦科學家本周展示 rootkit 攻擊新一代智慧型手機的手法。
研究人員在一場行動運算的成果發表會中展示 rootkit 安裝入智慧型手機後可以竊聽會議,追蹤使用者或者快速洩光手機電池的電—一切神不知鬼不覺。
「智慧型手機基本上就是一般電腦,跑的是和桌機或筆電一樣的作業系統,因此也會遭到惡意程式攻擊。」羅格斯藝術與科學學院副教授 Vinod Ganapathy 說。
Ganapathy 和該校的電腦科學教授 Liviu Lftode 偕同三名學生針對如何在智慧型手機上使用 rootkit 做了研究。他們指出,許多 PC 都具有虛擬機器監視軟體可以偵測 rootkits,但智慧型手機卻不支援 VM 監視軟體。
同時由於使用者總是手機不離身,因此可能危害更大。因為它讓潛在攻擊者得以竊聽,從手機通訊錄取得個人資訊,或藉由查詢手機的 GPS 以找出使用者所在。智慧型手機也提供惡意程式入侵系統的新管道,如藍牙無線或文字簡訊。
「我們只是在提出警告,我們是要告訴大家,具備一般電腦能力的使用者就可以製作智慧型手機的 rootkit 。下一步就是做好防禦。」
在測試中,研究人員展示 rootkit 可以偷偷開啟手機麥克風。攻擊者是傳送看不見的文字簡訊到受感染的手機上,命令它打出電話及開啟麥克風,像是竊聽會議電話。
在另一個測試中,研究人員又展示 rootkit 可以回應針對手機所在地所做的文字查詢,配合 GPS 接收器就可以完成。這使得攻擊者得以追蹤使用者行蹤。
在第三項測試中,研究人員又展示 rootkit 可以開啟耗電裝置,如藍牙無線電或 GPS 接收器,以便快速用光電池的電。
研究人員很小心,未評估特定智慧型手機的弱點。但他們的確是使用軟體開發人員,而非常用的手機。在合法的軟體開發環境上,他們插入 rootkit 惡意程式以便進行研究。
本研究由美國陸軍及美國國家科學基金會贊助。