是次保安危機利用了未修正版本Android的撥號程式漏洞,自動執行網站、SMS、QR Code、NFC 等媒介埋伏的 USSD 指令,從而修改設定,當中最嚴重情況就是令電話回復至出廠狀態,電話內的個人設定、資料、檔案將在數秒之內化為烏有。
Google 六月尾已經發現這個漏洞,並嘗試修正,基本上只要這三個月內有更新過的Android機種就不會出事,如首批被爆有機會中招的 Galaxy S III,照計使用 Android 4.1 Jelly Bean 就能免疫;相反,大概所有仍然運行 Android 2.3 Gingerbread 的孤兒機就屬高危一族了。
有熱心人士製作了測試網站 http://dylanreeve.com/phone.php,若以電話進入網站後就自動開啟了撥號程式,並出現了一組14或16位的 IMEI 編號,恭喜你,你知道你的電話原來會隨時中伏,要懂得提高警覺了。若只見一個白底黑字的英文網頁,恭喜你,你的電話應該不會中伏,至少,以你目前選用的網站瀏覽器、撥號程式、設定等等,你的電話是不會無故開啟其他人指定的 USSD 指令。
由於不是部部機都可以更新,用戶可以改用 Dialer One 之類的第三方撥號程式避開漏洞,部分網站瀏覽器如 Opera Mobile 亦不會執行打電話的連結,另外,也有網民製作了 Auto-reset blocker 嘗試急救。
以下片段示範了讀取 QR Code 而中伏的過程:
[轉載自 : HKGolden.com]
沒有留言:
發佈留言