美國 BlackHat 大會上討論的三個行動漏洞:Android的「master key」漏洞,SIM卡和iPhone充電器漏洞

雖然大部分行動威脅都是以惡意或高風險應用程式的形態出現,行動設備還是會被其他威脅所擾。比方說三星Galaxy設備上所出現的臭蟲和OBAD惡意軟體可以利用漏洞來提升權限。不幸的是,這些並不是行動用戶所需要警惕的唯一漏洞。

就在最近的美國BlackHat大會上,有三個漏洞被討論著:Android的「master key」漏洞,SIM卡iPhone充電器的漏洞。

「master key」漏洞最初被報導會影響99%的Android行動設備。這和Android應用程式如何被簽章有關,可能會讓攻擊者不用開發者的簽章金鑰就可以更新已安裝的應用程式。利用這漏洞,攻擊者可以將正常應用程式更換成惡意軟體。當我們的研究人員發現一起攻擊利用這漏洞的去更新並木馬化銀行應用程式。我們親眼看到這個影響會有多大

另一方面,第二個行動設備弱點是多數SIM卡所用的舊加密系統。想利用這漏洞,攻擊者只需發送會故意產生錯誤的簡訊。結果就是SIM卡會回應包含56位元安全金鑰的錯誤代碼。這金鑰可以讓攻擊者用來發送簡訊給設備,以觸發下載惡意Java程式,可以用來執行一些惡意行為,像是發送簡訊,監控手機位置。

跟「master key」漏洞不同的是,SIM卡漏洞可能會影響更多的使用者,因為它並不限定作業系統。此外,由於所述威脅是因為使用舊的解密方式,更新SIM卡以使用較新解密功能對電信業者來說可能會被認為不切實際而昂貴。 繼續閱讀