随着智能手机的普及，一旦手机出现了问题，拿去送修、更换零件已变得非常普遍。不过根据以色列安全研究人员现在发现，当前的手机系统对于各种零部件有着很高的信任度。使用者在维修手机时，骇客可以轻松更换上恶意零件，导致密码被窃或手机镜头被操控等入侵事件发生。

　　修手机、换零件 恶意入侵分分钟实现

研究人员表示，现在有不少手机零部件制造商在生产手机的触控屏幕、方向感应器、无线充电控制器、NFC传感器等等，而各种零件的驱动程序被预设为可被信任的，因此这些零部件和手机处理器之间的通讯很少被检测，显然让骇客有了可乘之机。

　　警惕恶意零部件

以最常维修的手机零件——屏幕为例，研究人员发现花费大约10美元就可制作触控屏幕控制器并实施恶意功能。在实验中，研究人员进行了两种攻击行为。一是触控注入攻击，让触控屏幕模仿使用者的输入并收集敏感信息。二是缓冲区溢出攻击，可让骇客拓展权限。

而联合实施两种攻击后，甚至能在标准的Android固件上发起各种端到端的攻击行动，包括窃取使用者所输入的密码或金融信息，拍摄照片或影片后通过电子邮件传送给骇客，还能自动下载未经使用者授权的程序等等，危害极大。

由于骇客能利用攻击将手机屏幕熄灭，导致手机使用者完全不知道自己的设备已遭受了攻击。而且通过恶意零部件展开的各种攻击，手机上的安全防护程序往往无法察觉，即使恢复手机的出厂设置、远程删除或是固件更新，都无法有效防范，因为该恶意零部件依旧存在于设备上。

因此，如何实现对硬件级别零部件的安全监管与内部通信检测，显然已成为一个新的安全课题。据悉，研究人员已将相关研究提交给了Google。