Google Nexus手機含有簡訊攻擊漏洞

獨立安全研究人員Bogdan Alecu在上周於羅馬尼亞舉行的DefCamp安全會議上指出，Android平台上有一可能帶來阻斷式服務攻擊（DDoS）的簡訊（SMS）漏洞，它影響了所有的Android 4.x版本，包括代號為KitKat的最新版Android 4.4。

Alecu所發現的漏洞是藏在專門用來廣播緊急事件的Class 0簡訊服務，該服務又稱為Flash SMS，這類簡訊會直接顯示在螢幕上，且不會被自動儲存，使用者在讀取後可選擇儲存或放棄它。

根據Alecu的說法，直接連續傳送30個Class 0予Android裝置，簡訊程式就會當機，然後手機自動重開機，重開機後就算廣播程式會重新啟動，但網路卻無法運作。如果使用者啟用了SIM卡的PIN碼保護機制，那麼重開機後的手機則不會出現電信訊號。

假設使用者在不知不覺的情況下受到攻擊，那麼可能不會意識到網路或電信訊號不通的問題，也許會讓手機功能停擺許久。

Alecu說，他在一年多以前便通知Google，但直到今年7月才收到Google的回覆，而且不確定Google是否已經修復了該漏洞，或者是有任何的修復時程表。他已在執行Android 4.1～Android 4.3的Galaxy Nexus與Galaxy 4等裝置上測試了該攻擊，而且連最新的Android 4.4或Nexus 5手機也受到影響。

Alecu亦建議Android用戶可自Google Play安裝由另一行動資訊安全研究人員Michael Mueller所開發的Class0Firewall，該程式主要就是用來杜絕Alecu所提出的Flash簡訊漏洞，甫於上周上架供用戶免費下載。（編譯/陳曉莉）