2012年9月28日星期五

Android 驚現洗機漏洞,自救有方法 !!

日前報導過Android電話有機會意外觸發USSD指令而損失慘重,據知問題由舊版Android的原生撥號程式出現漏洞所致。慶幸的是,Google早已安排修補漏洞,而即使未能更新也不是全無拆解方法。

是次保安危機利用了未修正版本Android的撥號程式漏洞,自動執行網站、SMS、QR Code、NFC 等媒介埋伏的 USSD 指令,從而修改設定,當中最嚴重情況就是令電話回復至出廠狀態,電話內的個人設定、資料、檔案將在數秒之內化為烏有。

Google 六月尾已經發現這個漏洞,並嘗試修正,基本上只要這三個月內有更新過的Android機種就不會出事,如首批被爆有機會中招的 Galaxy S III,照計使用 Android 4.1 Jelly Bean 就能免疫;相反,大概所有仍然運行 Android 2.3 Gingerbread 的孤兒機就屬高危一族了。

有熱心人士製作了測試網站 http://dylanreeve.com/phone.php,若以電話進入網站後就自動開啟了撥號程式,並出現了一組14或16位的 IMEI 編號,恭喜你,你知道你的電話原來會隨時中伏,要懂得提高警覺了。若只見一個白底黑字的英文網頁,恭喜你,你的電話應該不會中伏,至少,以你目前選用的網站瀏覽器、撥號程式、設定等等,你的電話是不會無故開啟其他人指定的 USSD 指令。

由於不是部部機都可以更新,用戶可以改用 Dialer One 之類的第三方撥號程式避開漏洞,部分網站瀏覽器如 Opera Mobile 亦不會執行打電話的連結,另外,也有網民製作了 Auto-reset blocker 嘗試急救。

以下片段示範了讀取 QR Code 而中伏的過程:

[轉載自 : HKGolden.com]

沒有留言:

發佈留言