Android 安全漏洞可讓駭客使用藍牙和 USB 配件(例如耳機、耳麥、揚聲器、手錶或充電站)監視您。普渡大學和愛荷華州立大學的研究人員表示,這個重大漏洞使攻擊者可以在您不知情的情況下監聽您的電話對話並收集您的簡訊。
根據 TechCrunch 同事轉發的研究,10 款流行的 Android 智慧型手機,包括像素2, 這Nexus 6P和三星 Galaxy S8+、Galaxy Note 2 等銀河S3,可以透過利用嚴重的基頻韌體安全漏洞。
一些 Android 智慧型手機允許藍牙和 USB 配件(例如耳機)與基帶(管理智慧型手機整個電話部分的晶片)進行通訊。該設備允許手機的數據機與蜂窩網路通信,以撥打電話、發送簡訊或連接到網路。通常,連接到智慧型手機的配件無法存取此韌體。
為了證明該缺陷的存在,研究人員開發了一款旨在與基頻通訊的駭客應用程式:ATFuzzer。多虧了這個應用程序,他們成功地在大約 10 種不同的智慧型手機上啟動 14 個命令。特別是,可以監聽智慧型手機的電話、收集其 IMEI 識別碼、攔截交換的 SMS 訊息或重定向呼叫到另一支手機。
要利用此缺陷,駭客必須靠近受害者。「如果您的智慧型手機連接到耳機或其他藍牙設備(編按:例如手錶或連接的揚聲器),攻擊者可以在啟動惡意命令之前首先利用藍牙連接中的缺陷”警告研究人員。研究指出,也可以透過 USB 連接到手機的裝置(例如電腦或充電站)存取基頻。
另請閱讀:Android 漏洞可讓您使用 NFC 破解智慧型手機
廠商反應
接到研究人員的警報後,三星承認了該缺陷的存在。這家韓國製造商致力於盡快在受影響的智慧型手機上部署修補程式。就其本身而言,Google聲稱配備最新安全補丁的 Pixel 智慧型手機沒有風險。華為尚未回應研究人員的要求。研究作者將在下個月的一次會議上公佈他們發現的細節。
來源 :ATF 測試器,TechCrunch
