Android重大漏洞!3秒格式化手機(jī)與SIM卡
在ekoparty安全會(huì)議中,研究人員Ravi Borgaonkar利用USSD(Unstructured Supplementary Service Data)指令攻擊三星的一款A(yù)ndroid手機(jī)GALAXY S3,刪除該手機(jī)及記憶卡內(nèi)的資料,并表示還有USSD指令可以破壞SIM卡。Ravi Borgaonkar在展示中給受害者發(fā)送了一條網(wǎng)頁(yè)鏈點(diǎn),但這條鏈點(diǎn)實(shí)際上卻是撥號(hào)指令(tel:),因此受害者點(diǎn)開(kāi)鏈接,手機(jī)會(huì)自動(dòng)撥號(hào)并輸入U(xiǎn)SSD指令執(zhí)行。正常情況手機(jī)輸入U(xiǎn)SSD指令后,必須由使用者按下“撥號(hào)”按鈕才會(huì)執(zhí)行,但展示中的手機(jī)卻自動(dòng)完成撥號(hào)動(dòng)作。
GALAXY S3、HTC One X及Motorola Defy等多款手機(jī)受到該漏洞影響
安全人員在展示中表示,使用USSD指令可以在三秒內(nèi)將手機(jī)恢復(fù)為出廠狀態(tài),并將內(nèi)存卡格式化。Ravi Borgaonka表示,還有指令可以讓SIM卡清空記錄,而且除了網(wǎng)絡(luò)外,短信、QR Code、NFC等方式都可以傳輸并自動(dòng)開(kāi)啟該指令,他建議使用者關(guān)閉這些通訊方式或其自動(dòng)開(kāi)啟功能。根據(jù)媒體報(bào)導(dǎo),三星多款手機(jī)均受此漏洞影響。一位紐西蘭的電視編輯Dylan Reeve在部落格中表示,他擁有的HTC One X及Motorola Defy一樣受到該漏洞影響,部分媒體報(bào)導(dǎo)Sony Xperia也有機(jī)種受到影響。
Dylan Reeve認(rèn)為,問(wèn)題可能來(lái)自Android系統(tǒng)的撥號(hào)程式,他發(fā)現(xiàn)今年六月Android團(tuán)隊(duì)就發(fā)現(xiàn)該問(wèn)題并加以修正,更新至4.0.4版的GALAXY S3也修補(bǔ)好該漏洞,會(huì)等使用者確認(rèn)再撥出USSD指令。對(duì)于尚未更新系統(tǒng)的機(jī)種,Dylan Reeve建議使用者加第三方撥號(hào)軟件。另外也有一個(gè)程序TelStop專(zhuān)門(mén)攔截tel:開(kāi)頭的連結(jié),可以避免該漏洞的影響。
USSD為GSM系統(tǒng)所使用的一種通訊協(xié)議,使用者通過(guò)手機(jī)撥號(hào)程式輸入特定USSD指令之后,可以取得系統(tǒng)服務(wù)商提供的服務(wù),例如查詢(xún)預(yù)付卡馀額等,也用于查詢(xún)手機(jī)內(nèi)部資訊,如*#06#可以查詢(xún)手機(jī)IMEI碼。部分手機(jī)廠商使用自定USSD指令對(duì)手機(jī)做特殊設(shè)定或操作,例如恢復(fù)為出廠設(shè)定、開(kāi)啟工程模式等。
責(zé)任編輯:和碩涵
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》