您是否曾在公共場合將手機放在桌上請他人幫忙注意一下手機,人就暫時離開去化妝室的經驗呢?若有的話,可能要留意了,即使手機有嚴密的身分驗證機制,例如指紋、人臉辨識或密碼驗證,仍然有被駭的可能,駭入的途徑甚至包括路邊的USB充電站。
蘋果資安大漏洞 只有換機才能解決
今年六月,蘋果在台灣的第二家旗艦店剛在信義區盛大開幕而躍上媒體版面,令果粉雀躍不已,但一向被認為資安管控嚴格的蘋果近期被發現舊機型所搭載的硬體有資安漏洞,消息一出,讓果粉感到十分擔憂。
蘋果旗下的iPhone、iPad、iPod touch,從iPhone 4s到 iPhone X等產品設備搭載的處理晶片近期被發現有硬體漏洞Checkm8,設備若被有心人士取得,可不經身分驗證,幾分鐘內即可植入惡意軟體,駭入裝置取得使用者檔案列表,可能導致機密內容因而外洩。
此次蘋果資安問題之所以受到特別關注,是因漏洞發生於跨產品線硬體晶片上,影響層面廣,相對於一般軟體漏洞可以使用補丁(patch)等修補程式做補強的方式,硬體漏洞則只能採取更換硬體裝置或作好配套控制措施來處理。目前該硬體漏洞無法靠軟體更新做修正,僅能靠更換新機或保護裝置不被他人取得等方式來自保,對於尚無換機需求者較為可行的方式應可藉由做好實體保護措施,避免手機遭駭,一旦手機失竊,便可繞過手機認證帳密、指紋與人臉辨識驗證,直接取用手機內資料。
提醒您:近期實體資產遭駭手法
- 智慧音箱操縱:以雷射光駭入其麥克風設備,命令語音助理進行網路購物或開啟家中大門。
- 充電陷阱(juice jacking):一種在USB公共充電站植入惡意程式的駭客手法,可在手機或其他設備充電的同時,竊取用戶資料,這使美國FBI近期也呼籲民眾盡量避免使用公共充電站。
- 社交攻擊:偽冒是公司高層、供應商、檢察官等角色,要求在短時間內提供可存取實體資產設備、機敏資料或進入特定建築物內,藉此獲得不法利益。
上述攻擊模式可了解,避免有心人士接近重要資產或知道設備位置,對於實體資產的保護相當重要,駭客或有心人士有著各種方式來繞過身分驗證機制的”創意”,如何教育第一線資產保管人或使用者保持充分資安意識並做好實體資產保護措施就更顯重要。
從國際標準ISO 27001看實體資產保護
前述案例可了解實體資產保護的重要性,而這可參考ISO 27001條文A11實體與環境安全,當中即強調兩大管控目標:
- 安全區域的管控
- 設備安全的管控
藉由做好人員進出管控機制(例如:物流卸貨區之人員進出管控),以及保護無人看管之資產,這些要求的目的,就是為了避免被未經授權人員接觸到資產的可能,確保資產從使用一直到汰除的過程中,有效保護這些實體資產。這可藉由導入資訊安全管理系統來強化流程控管,防患於未然。
以蘋果資安漏洞可知道,資訊安全並不是做好設備裝置的身分驗證、存取控制等技術導向之管控即可,也應做好實體資產保護等流程導向的一系列環環相扣的措施,確保在面對日漸增加的資安風險下仍能有相對完善的管控機制。
更多資訊請參考:
領導力企管官網:http://www.isoleader.com.tw
線上專人諮詢:https://iso2u.cc/AskMe / 0800-222007
COMMENTS