??? 誰(shuí)能想到，將手機(jī)連接到公用的 USB 充電器也可能會(huì)遭受惡意軟件的侵害!喬治亞理工學(xué)院的研究人員在 iPhone 中發(fā)現(xiàn)了一個(gè)漏洞：惡意應(yīng)用無(wú)需從 app store 下載，甚至根本不用通過(guò)訪問(wèn)app store便可安裝到用戶手機(jī)之上。這款?lèi)阂鈶?yīng)用通過(guò)存在漏洞的 USB 充電器進(jìn)行安裝，其工作原理與其他惡意軟件一樣 -- 強(qiáng)制您的設(shè)備訪問(wèn)銀行登錄信息，竊聽(tīng)通話甚至對(duì)設(shè)備進(jìn)行遠(yuǎn)程操控。但是其侵入 iPhone 的方式卻有所不同。

??? 首先，喬治亞理工學(xué)院的研究人員需要獲得 Apple 團(tuán)隊(duì)的安全許可才可以測(cè)試他們的推論。因此，他們制造了一個(gè)外觀與運(yùn)作原理都和 Facebook 極為相似的應(yīng)用。但是區(qū)別在于什么呢?這款貌似 Facebook 的應(yīng)用隱藏了一段惡意軟件代碼。當(dāng)團(tuán)隊(duì)獲得安全許可之后便開(kāi)始設(shè)法將惡意軟件安裝到手機(jī)之上 ，這時(shí)就用到了 iPhone 充電器。

??? 當(dāng)用戶無(wú)意識(shí)的將自己的 iPhone 連接到一個(gè)公共 USB 充電器時(shí)(該充電器與另一臺(tái)隱藏起來(lái)的電腦相連)，這款用于實(shí)驗(yàn)的惡意軟件便被激活而且開(kāi)始發(fā)揮作用。帶有個(gè)人識(shí)別碼(PIN)或密碼的 iPhone 則不會(huì)受到攻擊。然而，如果手機(jī)未被鎖定(即便只有一秒鐘)，那么惡意應(yīng)用也會(huì)被啟用。

??? 如果正在充電的 iPhone 未被鎖定，那么黑客就可以通過(guò)假冒的 Facebook 應(yīng)用(由 USB 充電器下載到手機(jī)之上)遠(yuǎn)程操控手機(jī) -- 打電話、查看密碼、更改設(shè)置等等。這些威脅就是所謂的“自動(dòng)運(yùn)行”惡意應(yīng)用，一般都是通過(guò) USB 傳播。它們非常危險(xiǎn)，因?yàn)楫?dāng)人們將電腦、平板電腦以及iPhone 與存在安全漏洞的設(shè)備連接之后，這些惡意程序就會(huì)自動(dòng)運(yùn)行。根據(jù)邁克菲威脅報(bào)告：2013 年第二季度，此類(lèi)攻擊活動(dòng)在 2012 至 2013 年間增長(zhǎng)了一倍并且仍在不斷擴(kuò)展，這也就是說(shuō)，人們必須對(duì)其有所認(rèn)識(shí)并且小心應(yīng)對(duì)!

??? 幸運(yùn)的是，喬治亞理工學(xué)院安全信息中心數(shù)位成員為了證明自己對(duì)于 Apple 設(shè)備安全性的疑慮開(kāi)展了這項(xiàng)測(cè)試，而人們也因此能夠?qū)@個(gè)特定的 iPhone 威脅有所了解，看到了如此猖獗的網(wǎng)絡(luò)犯罪的“高超技藝”。

??? Apple 近期發(fā)布了眾多更新內(nèi)容以提升安全服務(wù)級(jí)別，其中包括通過(guò)指紋識(shí)別啟動(dòng)的鎖定軟件。不過(guò)，當(dāng)用戶將自己的 Apple 設(shè)備與存在安全隱患的充電器相連時(shí)，任何前端安全舉措都無(wú)法防止此類(lèi)入侵。如果不想讓自己的 iPhone 被他人操控或者受到其他 USB 惡意軟件的侵害，我有以下建議跟大家分享：

??? 不要使用公共充電站。Apple 已經(jīng)更新了設(shè)備軟件，當(dāng)用戶連接到陌生(或非 Apple 生產(chǎn))的 USB 充電器時(shí)會(huì)發(fā)出警告。如果忽略此警告，那么你可能就會(huì)陷入危機(jī)。當(dāng)身處咖啡店、機(jī)場(chǎng)或其他公共場(chǎng)所時(shí)，在連接公用充電器之前請(qǐng)三思。

??? 充電時(shí)切勿解鎖設(shè)備。如果你的手機(jī)徹底沒(méi)電，必須要使用公共充電器的話，務(wù)必將手機(jī)鎖定并且使用座充。解鎖 iPhone 是造成該惡意軟件肆虐的關(guān)鍵所在。

??? 檢查你的 iPhone 設(shè)置。如果你曾經(jīng)連接過(guò) USB 線纜并且希望確保自己的手機(jī)沒(méi)有遭受入侵，那么請(qǐng)查看設(shè)置>通用>關(guān)于本機(jī)。如果你看到列表中有任何陌生項(xiàng)目，請(qǐng)立刻刪除。

??? 僅從值得信任的來(lái)源下載應(yīng)用。這個(gè)惡意應(yīng)用通過(guò) USB 線進(jìn)行安裝，因此您在自行下載應(yīng)用的時(shí)候千萬(wàn)小心(即便是通過(guò) Wi-Fi 下載也是如此)。僅從官方 app store 下載應(yīng)用，避免成為惡意應(yīng)用的受害者。