ToorCon大会：研究人员用黑客玩具轻松破iPhone

从“武器化”iPhone到被黑的玩具，和外泄cookies，出席上周末ToorCon安全会议的研究人员，全都不吝示范他们高超的技巧。

一名研究人员示范如何用一个已知且已修补的Safari漏洞，控制iPhone手机。iPhone设有一种可处理信用卡号的软件，当中的资料有可能因此被窃。

另外两名研究人员将一个简单的粉红塑胶玩具，变身成可随意开关车库门，和复制RFID标签的无线工具。这种小玩具原本只是设计在私人网络上发送短信。

安全研究人员Eric Butler和Ian Gallagher的示范显示，许多受欢迎的网站，如Facebook、Twitter、Hotmail和Flickr，只采取有限的加密保护，导致使用者的cookie资讯，很容易在传输过程中被拦截，进而被盗用身分。

Leviathan Security Group安全顾问主任Daveid Kane-Parry表示，开发者需要注意他们创造的软件，可能造成的隐私风险。他特别指出，主打定位概念的移动软件，如Google Maps，资料在消费者设备与应用软件服务器间的传输都没有加密，可能造成隐私外泄问题。举例来说，上传到Facebook等网站的移动照片，都能用地理标签找到拍摄地点，照相者甚至完全不知情。

去年抓到DNS安全漏洞而成名的研究人员Dan Kaminsky则呼吁，网络业需要采用DNSSEC（域名系统安全扩展）。DNSSEC布署一直很慢，原因是过程麻烦。对此，Kaminsky已开发出一项软件，可在既有基础设施上，直接升级DNSSEC，不必“大规模地更改既有程序”。