北京時(shí)間10月22日早間消息�����,卡耐基梅隆大學(xué)“公開(kāi)漏洞數(shù)據(jù)庫(kù)”(CERT)上周五表示�����,AT&T和Verizon對(duì)LTE網(wǎng)絡(luò)的配置存在漏洞�����,可能會(huì)導(dǎo)致數(shù)百萬(wàn)部手機(jī)遭遇竊聽(tīng)�����、數(shù)據(jù)欺詐�����,以及亂收費(fèi)等風(fēng)險(xiǎn)�����。
這些網(wǎng)絡(luò)中的Android設(shè)備風(fēng)險(xiǎn)最大,因?yàn)樵贚TE網(wǎng)絡(luò)中�����,Android系統(tǒng)“缺乏適當(dāng)?shù)氖跈?quán)許可模式”。研究人員指出�����,最新發(fā)現(xiàn)的這些漏洞會(huì)影響每一部Android設(shè)備�����。
T-Mobile發(fā)言人表示�����,T-Mobile的用戶此前也受到影響�����,但目前問(wèn)題已經(jīng)解決�����。此外�����,蘋果產(chǎn)品并未受到影響。
這一發(fā)現(xiàn)最初來(lái)自韓國(guó)學(xué)術(shù)界和信息安全研究人員�����。LTE技術(shù)基于包交換�����,而非傳統(tǒng)的電路交換�����。這種新的數(shù)據(jù)傳送方法導(dǎo)致了新一類的攻擊�����,尤其是針對(duì)會(huì)話發(fā)起協(xié)議(SIP)的攻擊�����。目前�����,這一協(xié)議被廣泛用于語(yǔ)音通話和即時(shí)通信服務(wù)中�����。
研究人員已發(fā)現(xiàn)一種方法�����,利用SIP協(xié)議的工作方式去進(jìn)行攻擊�����。攻擊者可以獲得免費(fèi)的帶寬�����,去從事數(shù)據(jù)密集型活動(dòng)�����,例如視頻通話�����,同時(shí)不產(chǎn)生額外成本�����。在某些情況下,攻擊者可以建立多個(gè)SIP會(huì)話�����,從而發(fā)動(dòng)拒絕服務(wù)攻擊�����。
CERT表示�����,這些LTE網(wǎng)絡(luò)都存在一到兩個(gè)這樣的問(wèn)題�����。不過(guò)�����,目前沒(méi)有證據(jù)表明�����,有黑客利用這些漏洞實(shí)際發(fā)動(dòng)過(guò)攻擊�����。
T-Mobile和Verizon的網(wǎng)絡(luò)已被確認(rèn)存在風(fēng)險(xiǎn)。研究人員沒(méi)有對(duì)AT&T的網(wǎng)絡(luò)進(jìn)行全面測(cè)試�����,但他們認(rèn)為�����,AT&T的網(wǎng)絡(luò)很可能存在風(fēng)險(xiǎn)�����。
利用這樣的漏洞�����,惡意的Android應(yīng)用可以在用戶不知情的情況下偷偷撥打電話�����,從而給用戶造成額外的話費(fèi)�����,甚至對(duì)用戶展開(kāi)竊聽(tīng)�����。研究人員指出�����,所有Android版本都存在風(fēng)險(xiǎn)�����。
谷歌已表示�����,將在11月的月度安全更新中為Nexus設(shè)備修復(fù)這一問(wèn)題�����,但谷歌并未確認(rèn)�����,哪些Android版本受到了影響�����。目前也不清楚,其他受影響的Android設(shè)備將于何時(shí)獲得補(bǔ)丁�����,因?yàn)檫@取決于設(shè)備廠商和運(yùn)營(yíng)商的情況�����。
小編推薦閱讀
