计世网消息 Juniper Networks的一名安全研究人员表示,他计划演示一种新型的攻击,它可以用来攻击路由器或手机等电子产品。
该缺陷存在于被广泛应用在这类“嵌入式”产品的ARM和XScale微处理器。Jupiter的杰克说,ARM和XScale微处理器中存在容易被黑客利用的有趣的缺陷,该缺陷会导致黑客可以百分之百地在产品上执行任意代码。
黑客可以发动这类攻击,在连接到网络的设备上运行非授权的代码。从理论上说,犯罪分子可以利用这类攻击从手机上窃取机密资料,使互联网流量在路由器上改变方向,例如将用户由网络银行引导到恶意网站上,窃取帐户和密码信息。
杰克计划在CanSecWest安全会议上披露有关这类攻击的详细资料,以及设备厂商应当如何避免这类攻击。杰克指出,缺陷存在于名为JTAG的标准集成电路测试界面中。
Envisioneering Group的彼得说,JTAG的应用非常广泛,因为它使工程师能够在嵌入式系统上调试软件,但它也是一个安全缺陷。
杰克表示,一些公司能够关闭产品上的JTAG界面,但在他检测的90%的产品中都存在这一缺陷。彼得说,这确实是个问题。一些芯片没有关闭JTAG的原因是,厂商希望在以后出现问题时方便诊断。
Grand Idea Studio Inc.的总裁格兰德表示,关闭JTAG对于硬件厂商而言,代价是极其高昂的。他说,攻击嵌入式系统的设备和工具正在越来越便宜,这对黑客而言无疑是个好消息。