在近期举办的 Def Con 安全大会上,一位代号 MG 的安全研究员展示了一款名为“O.MG Cable”的改装 Lightning 数据线。这款线缆外观与苹果原装 Lightning 线无异,既能正常传输数据和充电,其内部却植入了额外的控制组件。通过连接在连接器上的无线发射器,攻击者可以在远程操控该设备,实现完全接管 Mac 电脑的效果。
MG 将这种攻击方式形容为“无需物理在场,却如同坐在受害者键盘前操作”。该线缆通过模拟 USB 键盘和鼠标信号,能够直接在 Mac 上打开终端窗口并输入任意指令。由于这种攻击方式完全基于硬件模拟,并未利用 macOS 系统的任何软件漏洞,因此传统的杀毒软件或系统补丁难以防御。
尽管该攻击手段威力巨大,但也存在明显局限。首先,攻击者必须处于线缆信号覆盖范围内,距离通常不超过 90 米,虽然可通过无线中继扩展范围,但增加了操作复杂度。其次,攻击成功的关键在于诱导受害者使用这根被篡改的线缆,且受害者往往难以察觉屏幕上的异常操作。目前,该原型线缆售价约为 200 美元,未来可能作为专业安全测试工具量产。
法国及欧洲网络安全社区对此类硬件攻击高度关注,这反映了当地对物理安全与供应链信任的深层担忧。在公共场合使用不明来源的充电设备,尤其是在机场、酒店等人流密集区域,已成为全球性的安全隐患。要彻底阻断此类攻击,可能需要苹果在 macOS 中引入更严格的硬件外设连接验证机制,例如每次连接键盘或鼠标时强制要求用户手动确认。
对于中国科技从业者而言,这一案例再次敲响了警钟:在物联网设备普及的今天,物理接触层面的安全防线同样脆弱,企业和个人在涉及敏感数据操作时,应坚持使用自有可信硬件,避免在公共场合随意接入未知充电设备。
