ToorCon大會(huì)：研究人員用黑客玩具輕松破iPhone

從“武器化”iPhone到被黑的玩具，和外泄cookies，出席上周末ToorCon安全會(huì)議的研究人員，全都不吝示范他們高超的技巧。

一名研究人員示范如何用一個(gè)已知且已修補(bǔ)的Safari漏洞，控制iPhone手機(jī)。iPhone設(shè)有一種可處理信用卡號(hào)的軟件，當(dāng)中的資料有可能因此被竊。

另外兩名研究人員將一個(gè)簡單的粉紅塑膠玩具，變身成可隨意開關(guān)車庫門，和復(fù)制RFID標(biāo)簽的無線工具。這種小玩具原本只是設(shè)計(jì)在私人網(wǎng)絡(luò)上發(fā)送短信。

安全研究人員Eric Butler和Ian Gallagher的示范顯示，許多受歡迎的網(wǎng)站，如Facebook、Twitter、Hotmail和Flickr，只采取有限的加密保護(hù)，導(dǎo)致使用者的cookie資訊，很容易在傳輸過程中被攔截，進(jìn)而被盜用身分。

Leviathan Security Group安全顧問主任Daveid Kane-Parry表示，開發(fā)者需要注意他們創(chuàng)造的軟件，可能造成的隱私風(fēng)險(xiǎn)。他特別指出，主打定位概念的移動(dòng)軟件，如Google Maps，資料在消費(fèi)者設(shè)備與應(yīng)用軟件服務(wù)器間的傳輸都沒有加密，可能造成隱私外泄問題。舉例來說，上傳到Facebook等網(wǎng)站的移動(dòng)照片，都能用地理標(biāo)簽找到拍攝地點(diǎn)，照相者甚至完全不知情。

去年抓到DNS安全漏洞而成名的研究人員Dan Kaminsky則呼吁，網(wǎng)絡(luò)業(yè)需要采用DNSSEC（域名系統(tǒng)安全擴(kuò)展）。DNSSEC布署一直很慢，原因是過程麻煩。對(duì)此，Kaminsky已開發(fā)出一項(xiàng)軟件，可在既有基礎(chǔ)設(shè)施上，直接升級(jí)DNSSEC，不必“大規(guī)模地更改既有程序”。