Android 安全漏洞允许黑客使用蓝牙和 USB 配件(例如耳机、耳麦、扬声器、手表或充电站)监视您。普渡大学和爱荷华州立大学的研究人员表示,这一重大漏洞使攻击者可以在您不知情的情况下监听您的电话对话并收集您的短信。
根据 TechCrunch 同事转发的研究,10 款流行的 Android 智能手机,包括像素2, 这Nexus 6P和三星 Galaxy S8+、Galaxy Note 2 等银河S3,可以通过利用严重的基带固件安全漏洞。
一些 Android 智能手机允许蓝牙和 USB 配件(例如耳机)与基带(管理智能手机整个电话部分的芯片)进行通信。该设备允许手机的调制解调器与蜂窝网络通信,以拨打电话、发送短信或连接到互联网。通常,连接到智能手机的配件无法访问此固件。
为了证明该缺陷的存在,研究人员开发了一款旨在与基带通信的黑客应用程序:ATFuzzer。多亏了这个应用程序,他们成功地在大约 10 种不同的智能手机上启动 14 个命令。特别是,可以监听智能手机的电话、收集其 IMEI 识别码、拦截交换的 SMS 消息或重定向呼叫到另一部手机。
为了利用这个缺陷,黑客必须接近受害者。“如果您的智能手机已连接到耳机或其他蓝牙设备(编者注:例如手表或连接的扬声器),攻击者可以在启动恶意命令之前首先利用蓝牙连接中的缺陷”警告研究人员。研究指出,还可以通过 USB 连接到手机的设备(例如计算机或充电站)访问基带。
另请阅读:Android 漏洞允许您使用 NFC 破解智能手机
厂家反应
接到研究人员的警报后,三星承认了该缺陷的存在。这家韩国制造商致力于尽快在受影响的智能手机上部署补丁。就其本身而言,谷歌声称配备最新安全补丁的 Pixel 智能手机没有风险。华为尚未回应研究人员的要求。研究作者将在下个月的一次会议上公布他们发现的细节。
来源 :ATF 测试器,TechCrunch
