昨日已经报道了三星 android 手机遭遇远程擦除漏洞的消息:当用户点击网页中的恶意链接时,手机将会被直接擦除所有数据恢复到出厂状态。当时我们认为这是三星 touchwiz 定制界面的问题,现在我们发现这个问题的根源在旧版的 android 原生拨号程序中,htc one x运行 sense 4.0 和摩托罗拉运行 cyanogenmod同样出现问题,科技博客the next web确认这个问题在 htc desire系列运行android 2.2时也存在。因此大量 android 手机都有这一漏洞。 要检测你的手机是否也存在这个问题,请用手机访问 这个地址,如果你的手机存在这一远程擦除漏洞,访问这个地址后将会自动显示手机的 imei 号。
造成这一漏洞的原因是,手机都会支持一种叫ussd代码的特殊拨号方式(例如说在键盘上拨*#06#会显示你的手机imei号码),而通过特定的html代码,受感染的手机将模拟ussd代码拨号,用户在不知不觉中就会中招。这个安全漏洞其实不难解决,关键在于不是每一个厂家都修补了这一漏洞,不是每个运营商都作出了修正,同样,也不是每个用户都安装了更新补丁。目前的临时解决方案是装一个第三方拨号器程序,因为大部分第三方拨号器程序并没有权限或功能可以直接处理这种特殊字符串。而问题的最终解决当然还是要等待各自手机厂商的系统更新。 |