修手机得提防被嵌入恶意零件，否则恐遭偷密码或暗中盗拍

来自以色列本.古里安大学的几名安全研究人员近日发表一份研究报告，指称当使用者维修手机时，手机系统对置换零件的信任将允许骇客嵌入恶意零件，进而窃取使用者的密码或盗拍照片。

研究人员指出，有不少第三方业者制造手机触控屏幕、方向感应器、无线充电控制器或NFC读取装置，而各种零件的驱动程式早就假设这些零件是可被信任的，因此，这些零件与装置处理器之间的交流很少被检验，也让骇客有机可趁。

由于屏幕是最常维修的手机零件之一，这群研究人员以约10美元的现成电子零件来制作触控屏幕控制器的恶意功能，并执行了两项攻击行动，一是触控注入攻击，指使触控屏幕模仿使用者的输入并汲取资料，二是缓冲区溢位攻击，可让骇客扩张权限，结合这两项攻击之后，即可在标准Android固件上进行各种端对端攻击行动，包括窃取使用者所输入的密码或金融资讯，拍摄照片或影片并透过电子邮件传送给骇客，还能径自下载未经使用者授权的程式。

有鉴于相关攻击还能暂时关闭屏幕画面，因此，使用者在被骇的同时可能不知不觉。

透过恶意零件所执行的攻击行动并无法透过现有的安全机制察觉，不管是回复手机的出厂预设值、远端移除或是固件更新，该恶意零件都还是存在。

在揭露硬件攻击模式之后，这群研究人员也打造了软件解决方案，可用来监控零件之间的交流，亦已将相关研究提交给Google。