青島新聞網(wǎng)手機(jī)客戶端下載 | 青島天氣 | 更多網(wǎng)上媒體 科技頻道> 數(shù)碼欄目 > 正文

蘋果筆記本電池存安全漏洞 攻擊后或可被引爆

來(lái)源:新浪科技 2011-07-25 09:59:46

????北京時(shí)間7月24日下午消息,在將于今年8月份舉行的黑帽安全大會(huì)(Black Hat security conference)上,安全研究員查理·米勒(Charlie Miller)計(jì)劃曝光一項(xiàng)對(duì)蘋果筆記本電腦進(jìn)行攻擊的新方法,并提供解決方法。這一新的攻擊方法利用了蘋果筆記本電腦電池控制芯片中的安全漏洞。

????現(xiàn)代筆記本電腦電池都包含一個(gè)微控制器,用來(lái)監(jiān)測(cè)電池電量。操作系統(tǒng)和充電器可分別通過(guò)微控制器來(lái)檢測(cè)電池的充電和響應(yīng)。通過(guò)微控制器,即便是在電腦關(guān)機(jī)的狀態(tài)下,鋰電池知道何時(shí)停止充電,并將自身的發(fā)熱量控制在安全范圍。

????在米勒檢查了數(shù)臺(tái)Macbook、Macbook Pro和Macbook Air筆記本電腦的電池之后,他發(fā)現(xiàn)這些電池在安全上簡(jiǎn)直不堪一擊,令人不安。這些電池的芯片的密碼都是默認(rèn)的,任何發(fā)現(xiàn)了默認(rèn)密碼并學(xué)會(huì)控制芯片固件的人都有可能劫持這些筆記本電腦,為所欲為。潛在危害包括讓電池永久損毀;植入惡意軟件來(lái)感染電腦,重裝軟件也不能解決問(wèn)題;甚至可以讓電池持續(xù)加熱、著火乃至爆炸。

????通過(guò)分析蘋果于2009年發(fā)布的電池問(wèn)題補(bǔ)丁,以及對(duì)拆卸下來(lái)的蘋果筆記本電腦電池進(jìn)行破解,米勒發(fā)現(xiàn)了兩組可用來(lái)連接并修改蘋果筆記本電腦電池的密碼。使用這些密碼,黑客可以逆向修改芯片固件,任意篡改操作系統(tǒng)與充電器從芯片處讀取的數(shù)據(jù),甚至重新編寫固件。

????對(duì)電池進(jìn)行篡改非常容易,米勒已經(jīng)讓7塊蘋果筆記本電腦電池變成了磚頭。從犯罪的角度來(lái)看,米勒稱可以在芯片上安裝持久的惡意軟件來(lái)感染電腦的其他部分,從而竊取數(shù)據(jù)、控制電腦功能乃或讓電腦崩潰。很少有IT管理員在檢查病毒源時(shí)會(huì)聯(lián)想到電池固件,于是電池中的惡意軟件就能反復(fù)感染電腦。

????米勒還表示,攻擊這一漏洞還需找到電池芯片與操作系統(tǒng)之間接口中的另一個(gè)漏洞,不過(guò)接口中的漏洞并不難攻破。不過(guò)米勒也說(shuō),黑客是有可能通過(guò)遠(yuǎn)程操控來(lái)引爆電池的。

????實(shí)際上,蘋果筆記本電腦電池有其他防爆措施:電池中的保險(xiǎn)絲含有合金,在高溫下會(huì)熔化,破壞電路進(jìn)而中止充電。但米勒仍然認(rèn)為電池有可能被操縱進(jìn)而爆炸。

????米勒計(jì)劃在黑帽安全大會(huì)上推出一款名為“Caulkgun”的工具,讓蘋果用戶將電池固件的密碼更改為隨機(jī)字符串,從而防止電池默認(rèn)密碼被用來(lái)攻擊。米勒還向蘋果和德州儀器公司遞交了自己的研究結(jié)果,目前蘋果方面還未就此發(fā)表評(píng)論。

????不過(guò)安裝了米勒的Caulkgun工具之后,也許也會(huì)阻止蘋果使用電池默認(rèn)密碼安裝更新和補(bǔ)丁。

-
-
相關(guān)鏈接

上一篇:聯(lián)想ThinkPad攜手《變形金剛3》席卷全球
下一篇:我愛(ài)我買消費(fèi)養(yǎng)老模式涉?zhèn)麂N 消基會(huì)不保障信譽(yù)